Microsoft Exchange-Server-Hack verursacht IT-Bedrohungslage rot
Der Software-Riese Microsoft schloss zum 3. März 2021 mit einem außerplanmäßigen Sicherheitsupdate vier Schwachstellen in den Microsoft Exchange-Server-Versionen 2010 bis 2019. In dieser ersten Mitteilung stellte Microsoft die Bedrohung als relativ gering dar. Mittlerweile hat sich diese Situation verändert: Es läuft eine beispiellose Angriffswelle gegen ungepatchte Exchange-Instanzen. Das BSI hat die Alarmstufe rot ausgerufen.
Das bedeutet für zahlreiche Unternehmen, Behörden und Institutionen, dass sie jetzt nicht nur patchen, sondern auch nach Anzeichen für einen Einbruch Ausschau halten müssen. Die für den Hack mutmaßlich verantwortliche Hafnium-Gruppe hat erreichbare Exchange-Server mit einer Backdoor versehen. Es gilt, diese aufzuspüren und unschädlich zu machen. Außerdem stellt sich die Frage, inwieweit die Exchange-Lücke eine meldepflichtige Datenschutzverletzung darstellt. All diesen Punkten gehen wir im heutigen Beitrag nach.
Microsoft Exchange – Was ist das?
Mit Exchange-Server bietet Microsoft einen Dienst an, mit dem in Netzwerken die E-Mail-Kommunikation gesteuert, die elektronische Kommunikation aber auch auf schädliche Dateien wie Viren geprüft werden kann. Sämtliche eingehenden und ausgehenden E-Mails landen beim entsprechenden Exchange-Server; von dort aus werden sie an die Empfänger verteilt. Wenngleich es Alternativen gibt, setzen weltweit zahlreiche staatliche und privatwirtschaftliche Institutionen auf Microsoft Exchange-Server.
Exchange-Server-Hack: Chronik der Katastrophe
Das taiwanesische Unternehmen Devcore untersuchte die Sicherheit von Exchange-Systemen. Am 10. Dezember 2020 stieß man auf eine Schwachstelle, die als ProxyLogon (CVE-2021-26855) bezeichnet wurde. Diese Schwachstelle erlaubte es Angreifern, das reguläre Authentifizieren einfach zu umgehen, sodass sie sich mit Admin-Rechten anmelden konnten.
Die Sicherheitsforscher entdeckten eine zweite Schwachstelle: Über diese gelang es, Dateien für eine Remote Code Execution (RCE, Remote-Code-Ausführung) in Exchange zu platzieren. Die Forscher bauten aus dieser Schwachstelle einen Proof of Concept-Exploit – voll funktionsfähig, sodass sich die Exchange-Authentifizierung umgehen ließ. Devcore dokumentiert auf der ProxyLogon-Site, dass die Sicherheitsforscher Microsoft am 5. Januar 2021 über das Security Resource Center (MSRC) informiert hatten.
Zwar bestätigte das MSRC die Schwachstellen, jedoch wurde nicht umgehend ein Sicherheitsupdate bereitgestellt. Microsoft wollte mindestens einen Fix freigeben, noch bevor die Frist zum Veröffentlichen von Schwachstellen abläuft. Zunächst kündigte Microsoft am 18. Februar an, die Patches mit dem März-Patchday am 9. zu verteilen. Dann kam es anders: Microsoft veröffentlichte die Sicherheitspatches außerplanmäßig mit einer Sicherheitswarnung am 03. März 2021.
Exchange-Hack: Warnungen im Vorfeld
Nicht nur Devcore, auch die Sicherheitsfirma Volexity beobachtete bereits am 06. Januar 2021 Angriffe über eine bis dato nicht veröffentlichte Exchange-Schwachstelle. Der US-Sicherheitsblogger Brian Krebs hat eine Timeline des Exchange-Massenhacks veröffentlicht, die die Vorgänge gut darstellt – all die Warnungen an Microsoft sind also bestens dokumentiert.
Noch einer reiht sich ein: Sicherheitsforscher des Unternehmens Dubex haben Microsoft am 27. Januar 2021 über Angriffe auf Exchange-Server informiert. Nur wenige Tage später, nämlich am 29. Januar, berichtete der Sicherheitsanbieter Trend Micro davon, dass es Angreifern über eine Schwachstelle gelungen ist, eine Webshell als Backdoor auf Exchange-Servern zu installieren.
Verwundbare Exchange-Server mit Backdoor
Bis dahin soll es nur vereinzelte Angriffe auf ausgesuchte Exchange-Server gegeben haben. Am 26. bzw. 27. Februar begannen jedoch die Massenscans: Exchange-Server, die verwundbar waren, wurden automatisch mit einer Webshell infiziert.
Mit dem 02. März (US-Zeit, hierzulande war es bereits der 03. März) veröffentlichte Microsoft nicht nur die Sicherheitsupdates, sondern auch eine Analyse. Im Rahmen dieser Analyse macht Microsoft die chinesische Hafnium-Hackergruppe dafür verantwortlich, verwundbare Exchange-Server mit Zero-Day-Exploits anzugreifen.
Nur wenige Stunden nach Veröffentlichung der außerplanmäßigen Updates und der vier Schwachstellen begann die beispiellose Infektion sämtlicher via Internet erreichbaren ungepatchten Exchange-Server. Das führte dazu, dass Administratoren kaum eine Möglichkeit hatten, zu reagieren.
Hinzu kam ein Problem beim Patchen: Nicht allen gelang es, die Schwachstelle wirklich zu schließen. Vielfach konnten die Patches nicht eingespielt werden, da dies mit älteren CUs (kumulatives Update, welches vierteljährlich erscheint) nicht möglich war. Erst mit dem 09. März ermöglichte Microsoft Patches auch bei veralteten CU-Ständen.
Banken, Behörden, Unternehmen: Alle sind vom Exchange-Server-Hack betroffen
Zehntausende von Unternehmen, Behörden, aber auch Banken oder Forschungseinrichtungen sind betroffen: Ihre E-Mails können mitgelesen werden, schlimmstenfalls lassen sich sogar Rechner fernsteuern. Schätzungen möglicher Betroffener gehen immer weit auseinander: Brian Krebs berichtet von 30.000 gehackten E-Mail-Systemen ausschließlich in den USA, das Wall Street Journal nennt mehr als 250.000 Opfer weltweit und der Finanzdienst Bloomberg zitiert einen ehemaligen US-Beamten, der von mindestens 60.000 betroffenen E-Mail-Servern spricht. Die Schätzungen der betroffenen Unternehmen hierzulande liegen zwischen 60.000 bis hin zu mehreren 100.000 – Fakt ist: Die Lücke betrifft nahezu jedes Unternehmen bzw. jede Behörde. Tatsächlich ausgenommen sind Nutzende der Microsoft-eigenen Cloud-Lösungen.
Nun wird hierzulande insbesondere deshalb auf Self-Hosting-Lösungen gesetzt, um die Datenhoheit zu behalten, Vorgaben der DSGVO einzuhalten und damit insgesamt die Sicherheit zu erhöhen. Auch wir haben in verschiedenen Tests immer wieder dazu geraten, möglichst auf Self-Hosting-Lösungen zu setzen. In diesem Fall darf man die Schuld weder auf die Cloud-müden deutschen Unternehmen noch auf die mutmaßlich verantwortliche Hafnium-Gruppe verteilen, das gelingt nicht.
Denn das erste Update-Desaster zeigt, dass Microsoft sich bislang nicht sehr darum gekümmert hat, Updates so zu gestalten, dass sie zeitnah eingespielt werden können – etliche Systeme sind nicht mal annähernd aktuell. Es vergingen weitere fünf Tage, bevor Microsoft die Patches an ältere CU-Stände angepasst hatte. Hinzu kommt, dass das Update-Prozedere bei Exchange-Servern wirklich Know-how erfordert. Microsoft ließ sich Zeit – sowohl beim Veröffentlichen der Lücke als auch beim Bereitstellen der Patches.
Exchange-Server-Hack: CERT-Bund und BSI
Am 08. März twitterte CERT-Bund, das Computer-Notfallteam des BSI, dass „deutsche Netzbetreiber zu IP-Adressen definitiv verwundbarer Exchange-Server in ihren Netzen“ benachrichtigt werden. Die Provider wurden gebeten, betroffene „Kunden umgehend zu informieren“. Weiter twitterte CERT-Bund einige konkrete Zahlen, die erschrecken dürften: „Aktuell werden in Deutschland ca. 63.000 Exchange Server mit offen aus dem Internet erreichbarem OWA betrieben. Davon sind mindestens 26.000 für die aktuellen kritischen Schwachstellen (CVE-2021-26855 et al.) verwundbar, potenziell bis zu 58.000 Systeme.“
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) selbst meldete sich zu Wort: Die Behörde hatte die „IT-Bedrohungslage rot“ ausgerufen (PDF). In einer Pressemeldung vom 05. März 2021 erklärte das BSI, man gehe davon aus, alle bislang nicht aktualisierten Systeme seien mit der Webshell infiziert: „Bei Systemen, die bis dato nicht gepatched sind, sollte von einer Kompromittierung ausgegangen werden“, schreibt die Behörde. BSI-Chef Arne Schönbohm kritisiert Microsoft in einem Interview mit der WirtschaftsWoche: Microsoft hätte nicht nur früher warnen, sondern auch hilfreiche Hinweise zum Schützen anfälliger Systeme geben müssen.
BSI: Auch KRITIS betroffen
Laut Schönbohm konnte das BSI „eine niedrige einstellige Zahl betroffener Bundesbehörden“ identifizieren. Außerdem weiß das BSI mittlerweile „von einigen Tausend Servern in Deutschland, wo Hacker die Schwachstelle bereits ausgenutzt haben. Dort haben sie eine sogenannte ‚Webshell‘ installiert, die ihnen weitergehende Möglichkeiten gibt, Schadsoftware in Netze einzuschleusen, zusätzliche Hintertüren zu installieren und mehr. Darunter sind auch Unternehmen aus den sogenannten kritischen Infrastrukturen, die uns schon Attacken gemeldet haben.“ Aus Sicherheitsgründen nenne Schönbohm jedoch keine Namen.
Exchange Server-Hack: Werden Sie jetzt aktiv!
Es besteht sehr dringender Handlungsbedarf – für sämtliche Unternehmen, die auf Microsoft Exchange-Server setzen! Denn die Lücke wird nach BSI-Informationen (s. PDF: „Microsoft Exchange Schwachstellen – Detektion und Reaktion“) „von mindestens 10 verschiedenen APT-Gruppen massenhaft ausgenutzt“. All diese Gruppen – mit Ausnahme einer, die mit Kryptomining in Verbindung gebracht wird – werden „im Kontext der Informationsbeschaffung gesehen“, es geht also um Spionage. Hat ein Angreifer Zugriff auf den Exchange-Server Ihrer Organisation, so kann dieser Informationen stehlen und diese beispielsweise für betrügerische E-Mails nutzen. Weiter wird über die Ransomware DearDry berichtet, die die Exchange-Schwachstellen auf Servern zur eigenen Verbreitung ausnutzt.
Was ist jetzt zu tun?
- Analysieren und patchen: Nutzen Sie die Analyse-Tools und Sicherheitsupdates, die von Microsoft bereitgestellt werden. Verlieren Sie dabei möglichst keine Zeit! Sind Sie derzeit nicht in der Lage zu patchen, so trennen Sie betroffene Exchange-Server umgehend vom Internet!
- Durchsuchen: Patchen allein reicht jedoch nicht. Nach dem Einspielen der Sicherheitsupdates ist es unabdingbar, die gesamte IT auf verdächtige Aktivitäten zu untersuchen und von diesen Aktivitäten zu befreien. Halten Sie nicht nur Ausschau nach bereits bekannten Werkzeugen der mutmaßlich mitverantwortlichen Hafnium-Gruppe, sondern auch nach anderen Angreifern. Kein leichtes Unterfangen, wenn man nicht weiß, welche Gruppierungen die Angreifer sein könnten und welche Tools sie nutzen. Das BSI, CERT-Bund und verschiedene Sicherheitsanbieter veröffentlichen regelmäßig, was ihnen bekannt geworden ist. Scannen Sie Ihre Systeme nach entsprechenden Aktivitäten. Das Monitoring sollte nicht zu abrupt enden: Durch die installierten Hintertüren können Angriffe auch erst in Monaten stattfinden, wenn sich die erste Aufregung gelegt hat. Damit rechnen zumindest Experten.
- Meldepflicht prüfen: IT-Sicherheitsvorfälle müssen den zuständigen Datenschutzbehörden gemeldet werden. Eventuell liegt eine Meldepflicht vor – bitte informieren Sie sich darüber bei der für Sie zuständigen Datenschutzbehörde.
Ist der Exchange-Server-Hack eine meldepflichtige Datenschutzverletzung?
Gemäß Art. 33 DSGVO handelt es sich bei kompromittierten Systemen um meldepflichtige Datenschutzvorfälle. Eine Meldung muss binnen 72 Stunden an die zuständige Datenschutzbehörde erfolgen. Zusätzlich verlangt Art. 34 DSGVO, dass Betroffene unverzüglich benachrichtigt werden, falls personenbezogene Daten mit hohem Risiko bei einem IT-Vorfall betroffen sind. Sind diese Vorschriften auch auf den Exchange-Server-Hack anzuwenden? Einige der 16 Datenschutzbehörden hierzulande haben sich dazu bereits geäußert.
So erklärt der LfD Mecklenburg-Vorpommerns, Unternehmen sollten das Prüf-Skript nutzen, welches von Microsoft zur Verfügung gestellt wurde. Werden im Rahmen dieser Überprüfung kompromittierte Systeme festgestellt, besteht eine Meldepflicht gemäß Art. 33 DSGVO. Konnten Datenabflüsse festgestellt werden, sehen dies auch die Hamburger und Rheinland-Pfälzer Behörden so.
Eine deutlich strengere Auslegung der Meldepflicht verfolgen die Behörden in Niedersachsen: „Die LfD Niedersachsen geht davon aus, dass in jedem Fall einer Kompromittierung des Exchange Servers sowie eines nicht rechtzeitigen Updates eine Meldung gemäß Art. 33 DS-GVO abzugeben ist“, schreibt die Behörde. Wer als niedersächsisches Unternehmen den Anweisungen des BSI gefolgt ist, hat jedoch einen Punkt weniger auf der To-Do-Liste: „Verantwortliche, die bereits nach den Handlungsempfehlungen des BSI geprüft haben, ob die Sicherheitslücke ausgenutzt wurde und keine Kompromittierung festgestellt haben, können von einer Meldung absehen. In diesem Fall liegt voraussichtlich kein Risiko für die Rechte und Freiheiten der betroffenen Personen vor. Aber auch dann ist die Dokumentation nach Art. 33 Abs. 5 DS-GVO zu erstellen.“
Unterstützung gegen die Exchange Server-Lücke
An verschiedenen Stellen erhalten Sie Unterstützung dabei, Ihre Exchange-Server entsprechend abzusichern:
- PSW GROUP: Selbstverständlich unterstützen unsere Sicherheitsexperten Ihre Sicherheit! Nehmen Sie einfach Kontakt zu uns auf.
- Unterstützung online: Net at Work-Mitinhaber und –Gesellschafter Frank Carius sammelt Informationen rund um den Exchange-Server-Hack auf seiner Website. Unter anderem erklärt Carius hier auch, wie Sie Ihre Systeme absichern und wie Sie Patch-Installationen kontrollieren.
- BSI: Das BSI aktualisiert seine Website regelmäßig über Neuerungen zum Exchange-Server-Hack. Dort finden Sie einen Link zur Aufzeichnung des BSI-Livestreams „Informationen und Hilfestellungen“ sowie weitere hilfreiche Publikationen.
Exchange Server-Hack: Katastrophe mit ungewissem Ausgang
Das BSI vergibt nicht leichtfertig ein „Rot“ – in diesem Fall war es leider angebracht: Die Schwachstellen in Microsoft Exchange Server werden aktiv ausgenutzt und es besteht höchster Handlungsbedarf! Denn die Schwachstellen sind nicht nur immens weit verbreitet, sondern sie sind auch noch verhältnismäßig leicht auszunutzen. Ransomware, das Sammeln von Informationen oder der Missbrauch von Daten: All dem ist aktuell Tür und Tor geöffnet, denn noch immer sind Tausende von Server ungepatcht.
Bedenken Sie: Angreifer nutzen die Lücken aktiv aus, Sie müssen also handeln. Eventuell haben sich bereits Cyberkriminelle eingeklinkt, die jedoch erst in einigen Wochen aktiv werden, um dann beispielsweise eine Erpressung mit Ransomware zu starten.
Es geht um nichts Geringeres als den Schutz der IT-Infrastruktur Ihrer Organisation – unterschätzen Sie das nicht! Das BSI und andere Experten warnten, dass Exchange Server-Betreiber grundsätzlich von einer Kompromittierung ausgehen sollten. Wenngleich es der härtere Weg ist: Gehen Sie ihn. Gehen Sie davon aus, dass auch Ihre Systeme betroffen sind, und führen Sie alle notwendigen Schritte gewissenhaft durch. Nur dann hat die IT-Infrastruktur Ihrer Organisation die Chance, so schadlos wie noch möglich durch diese IT-Katastrophe zu kommen.
Gender-Disclaimer:
Zur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum für Substantive und meinen damit alle natürlichen Personen unabhängig ihres Geschlechts.
Schreibe einen Kommentar