Exchange 2019

Microsoft Exchange Sicherheitslücke

Ende Februar 2021 gab Microsoft den Hafnium Hack öffentlich bekannt. Am 02. März wurde das erste Sicherheits-Update seitens Microsoft veröffentlicht. Die Lücke ist schon länger bekannt und wurde bereits im Dezember von (DEVCORE) gemeldet. Allerdings unbekannt ist, wie lange die Angreifer das Schlupfloch bereits kennen und effektiv nutzen.

Laut Microsoft sind folgende Systeme betroffen:

Exchange 2010

Exchange 2013

Exchange 2016

Exchange 2019

Auf welche Daten haben die Angreifer zugriff?

Bei einem erfolgreichen Angriff können Hacker diese Sicherheitslücke radikal ausnutzen und ggf. auf den gesamten internen E-Mail-Verkehr bei Ihnen im Unternehmen zugreifen. Durch die vorhandenen Lücken wird es den Angreifern ermöglicht Dateien abzulegen und sich so dauerhaften Zugriff auf ihr Netzwerk zu verschaffen. Folglich wären die Vertraulichkeit und Integrität von E-Mails nicht mehr gegeben. Ferner ist es ein Kinderspiel Speicherabbilder von laufenden Prozessen zu erstellen und zu filtern, womit die Angreifer Zugriff auf sehr sensibler Daten bekämen (Ausspähung von Serveranmeldungen, Filtern von IP-Adressen und Passwörtern, etc.). Daraus resultierend machen sich die Hacker diese Informationen für ihre kriminellen Zwecke, wie bspw. in Form von Erpressungen, zu nutze.

Was können Sie tun?

Essenziell ist, dass Ihre IT-Dienstleister die Systeme nicht nur updaten, sondern ebenfalls auf den Befall prüfen. Die Patches schließen die Lücke, verhindern allerdings nicht, bei bereits infizierten Systemen, die sogenannten Web-Shells wiederholt auszuführen und somit Ihre Daten erneut zu scannen. Unternehmen, die Hinweise auf einen Einbruch entdecken, sollten im nächsten Schritt sorgfältig prüfen, welche Teile des Netzes die Angreifer bereits kompromittiert haben.

Das von Microsoft zur Verfügung gestellte Skript überprüft die vorhandene IT-Infrastruktur auf bereits erfolgreiche Angriffe. Sollte dies der Fall sein, stehen verschiedene Möglichkeiten zur Verfügung die Problematik zu beheben:

– Recovery Installation

– Neueinrichtung des Exchange-Servers

Link (Skript): https://github.com/microsoft/CSS-Exchange/blob/main/Security/src/Test-ProxyLogon.ps1

Lucas Wirth-Bittner

Lucas Wirth-Bittner

Lucas Wirth-Bittner hat Wirtschaftsinformatik studiert und ist als Consultant bei K&K Software AG für das sichere Systemdesign und die Automatisierung der Wartungsprozesse verantwortlich.