Microsoft Exchange Sicherheitslücke
Ende Februar 2021 gab Microsoft den Hafnium Hack öffentlich bekannt. Am 02. März wurde das erste Sicherheits-Update seitens Microsoft veröffentlicht. Die Lücke ist schon länger bekannt und wurde bereits im Dezember von (DEVCORE) gemeldet. Allerdings unbekannt ist, wie lange die Angreifer das Schlupfloch bereits kennen und effektiv nutzen.
Laut Microsoft sind folgende Systeme betroffen:
– Exchange 2010
– Exchange 2013
– Exchange 2016
– Exchange 2019
Auf welche Daten haben die Angreifer zugriff?
Bei einem erfolgreichen Angriff können Hacker diese Sicherheitslücke radikal ausnutzen und ggf. auf den gesamten internen E-Mail-Verkehr bei Ihnen im Unternehmen zugreifen. Durch die vorhandenen Lücken wird es den Angreifern ermöglicht Dateien abzulegen und sich so dauerhaften Zugriff auf ihr Netzwerk zu verschaffen. Folglich wären die Vertraulichkeit und Integrität von E-Mails nicht mehr gegeben. Ferner ist es ein Kinderspiel Speicherabbilder von laufenden Prozessen zu erstellen und zu filtern, womit die Angreifer Zugriff auf sehr sensibler Daten bekämen (Ausspähung von Serveranmeldungen, Filtern von IP-Adressen und Passwörtern, etc.). Daraus resultierend machen sich die Hacker diese Informationen für ihre kriminellen Zwecke, wie bspw. in Form von Erpressungen, zu nutze.
Was können Sie tun?
Essenziell ist, dass Ihre IT-Dienstleister die Systeme nicht nur updaten, sondern ebenfalls auf den Befall prüfen. Die Patches schließen die Lücke, verhindern allerdings nicht, bei bereits infizierten Systemen, die sogenannten Web-Shells wiederholt auszuführen und somit Ihre Daten erneut zu scannen. Unternehmen, die Hinweise auf einen Einbruch entdecken, sollten im nächsten Schritt sorgfältig prüfen, welche Teile des Netzes die Angreifer bereits kompromittiert haben.
Das von Microsoft zur Verfügung gestellte Skript überprüft die vorhandene IT-Infrastruktur auf bereits erfolgreiche Angriffe. Sollte dies der Fall sein, stehen verschiedene Möglichkeiten zur Verfügung die Problematik zu beheben:
– Recovery Installation
– Neueinrichtung des Exchange-Servers
Link (Skript): https://github.com/microsoft/CSS-Exchange/blob/main/Security/src/Test-ProxyLogon.ps1