Reaktion auf Microsoft Exchange 0-Day-Angriff

Am 6. März hat Microsoft öffentlich auf Schwachstellen in der Microsoft-Exchange-Software hingewiesen. IONOS wusste bereits am 3. März um den möglichen Angriffspunkt und hat sofort damit begonnen, die von Microsoft bereitgestellten Updates auf alle selbst betriebenen Exchange-Systeme aufzuspielen, um so die Fehlerquelle auszuschalten. Die Systeme von IONOS waren deshalb nicht von der Angriffswelle betroffen.

In diesem Interview mit dem Lead Exchange Engineer John Barnes klären wir die wichtigsten Fragen zu dem Thema.

Frage: Wann haben Sie von der Schwachstelle erfahren und wie sind Sie dann vorgegangen?

Wir haben bereits am 3. März frühmorgens von der Schwachstelle erfahren und sofort mit einer Auswertung begonnen: Welche Server müssen gepatcht werden? Dann haben wir die Arbeit auf das Team aufgeteilt, um den Patch-Prozess zu beschleunigen.

Wir wussten direkt, dass dieses Update sehr wichtig ist, weil es untypisch von Microsoft ist, Patches abseits vom Monatsrhythmus zu veröffentlichen. Sobald wir uns mit den Details der Schwachstellen beschäftigten und die technischen Auswirkungen verstanden, wurde klar, dass dieser Patch so schnell wie möglich durchgeführt werden musste.

Frage: Welche Schritte wurden unternommen und wie lange hat dies gedauert?

Unsere Plattformen sind mit hoher Redundanz ausgestattet. In Situationen wie dieser können wir deshalb die Plattformen während der Geschäftszeiten patchen, ohne dass Kunden Einbußen im Service feststellen. Wo es möglich ist, ist der Patch-Prozess zudem automatisiert. Ein großer Teil unserer Server hatte den Patch daher schon vor dem Beginn des Tages installiert.

Um die anderen Teile der Plattform haben wir uns schrittweise gekümmert und dabei die Arbeitslast zwischen den Servern hin und her bewegt, um Serviceunterbrechungen zu vermeiden. Das hat am Mittwoch den größten Teil des Tages in Anspruch genommen. Die Teile, die wir als am gefährdetsten ansehen, haben wir priorisiert. Wir haben auch mit besonderer Aufmerksamkeit nach verdächtigen Aktivitäten auf der Plattform Ausschau gehalten.

Während die Patching-Arbeit lief, nahmen wir außerdem an einer Konferenzschaltung mit Microsoft bezüglich des Updates teil. Und wir haben uns mit dem IONOS-Sicherheitsteam abgesprochen, um sicherzustellen, dass die Informationen im gesamten Unternehmen verteilt wurden. Beim Telefonat mit Microsoft war besonders hilfreich zu erfahren, dass der Schwerpunkt im Moment auf dem Patchen lag und nicht auf dem Versuch, den Exploit auf andere Weise zu entschärfen.

Sobald der Patching-Prozess abgeschlossen war, konzentrierten wir uns auf die Suche nach Anhaltspunkten für eine Kompromittierung (Indicators of Compromise). Dies ist ein langwieriger Prozess, da unsere Plattformen sehr umfangreich sind und wir mit größter Sorgfalt vorgehen. Deshalb hat das Scannen mehrere Tage gedauert.

Frage: Was ist in solchen Situationen die oberste Priorität?

Nummer eins sollte auf jeden Fall sein, die Schwachstellen so schnell wie möglich zu patchen. Bei geschäftskritischen Systemen wie etwa E-Mail kann dies manchmal schwierig sein. Wenn die Schwachstellen sehr großen Schaden verursachen können, muss man auch darüber nachdenken, das System kurzzeitig abzuschalten, um den Patch schneller installieren zu können.

Frage: Wie bleiben Sie für solche Gefahren up-to-date?

Als Hosting-Anbieter sind wir darauf vorbereitet, bei solchen Vorfällen schnell und entschieden zu reagieren. Da wir uns tagtäglich damit befassen, haben wir Kontakte und Informationsquellen, durch die wir sehr schnell Bescheid wissen – meist schon bevor die Öffentlichkeit informiert wird.

Unsere Prozesse sind in hohem Maße automatisiert und verwaltet, weshalb wir in kürzester Zeit reagieren können. Wir unterhalten weltweit Plattformen mit Geo-Redundanz. Das bedeutet, dass wir Updates aufspielen können, ohne dass Leistungseinschränkungen wahrnehmbar wären. Als Hoster bieten wir bereits seit 2010 Hosted-Exchange-Plattformen an und haben deshalb, abgesehen von Microsoft selbst, konkurrenzlose Erfahrung auf dem Gebiet. Uns ist klar, dass solche Situationen eintreten können – wichtig ist, wie man darauf reagiert.

Frage: Wer kann davon betroffen sein? Für welchen Nutzertyp besteht das höchste Risiko?

Ich glaube, besonders kleinere Unternehmen, die eigene Exchange Server „On Premises“, also vor Ort, betreiben, sind einem hohen Risiko ausgesetzt. Diese Nutzer haben oft nicht die nötigen Ressourcen, bei den vierteljährlichen Cumulative Updates von Microsoft up to date zu bleiben.

Als Microsoft das neue Update veröffentlicht hat, war dieses zunächst nur für die beiden letzten Cumulative Updates für jede Version von Exchange verfügbar. Unternehmen, die hier nicht auf dem neuesten Stand waren, mussten also erst das neueste Cumulative Update installieren, bevor sie die Schwachstelle beheben konnten. Dies kann ein wesentlich aufwendigerer Prozess sein, als nur ein Sicherheitsupdate für Exchange zu installieren, und dauert deutlich länger, was wiederum die Anfälligkeit des Unternehmens für diese Sicherheitslücke erhöht.

Frage: Haben Sie irgendwelche Empfehlungen, zum Beispiel Tools zum Aufspüren von anfälligen Servern?

Für diese spezifische Sicherheitslücke: Microsoft selbst empfiehlt den HealthChecker, um den Patch-Level des eigenen Servers herauszufinden und bestimmen zu können, ob der Server ein Update braucht. Es kann es sein, dass über Microsoft Update nicht ersichtlich ist, dass Sie ein ausstehendes Update haben, wenn Ihre Exchange Server nicht auf das neueste Cumulative Update gepatcht sind. Test-ProxyLogon ist ein Script von Microsoft, dass dabei hilft, Anzeichen einer Gefährdung zu identifizieren.

Ansonsten finde ich den Nessus Vulnerability Scanner besonders effektiv, wenn es darum geht, Schwachstellen und ungepatchte Server zu identifizieren.

Frage: Was sind die möglichen Konsequenzen eines solchen Vorfalls für betroffene Organisationen?

Dieser Exploit war besonders fies, ein „Unauthenticated Remote Code Execution as System“-Exploit. Diese Sicherheitslücke ist besonders gefährlich, weil Microsoft Exchange Server typischerweise hohe Privilegien im Active Directory genießen, dem Hauptmechanismus innerhalb von Unternehmen für Authentifizierung und Autorisierung in Windows.

Das bedeutet, dass das Risiko für Unternehmen sehr hoch ist. Es besteht eine große Wahrscheinlichkeit, dass Unternehmensdaten gestohlen oder zerstört werden, dass die Funktionsfähigkeit verloren geht und so weiter. Die möglichen Auswirkungen auf das Unternehmen, wenn ein Angreifer diese Schwachstelle erfolgreich ausnutzen kann, sind kaum zu unterschätzen.

Frage: Gibt es noch Risiken, nachdem alle Maßnahmen getroffen wurden?

Ich finde es immer schwierig, bei solchen Sicherheitslücken eine definitive Entwarnung zu geben. Wir haben auf Basis der derzeitigen Informationen von Microsoft alles untersucht und konnten dabei nichts feststellen. Aber ein wirklich versierter böswilliger Angriff kann es sehr schwierig machen, eine Kompromittierung zu erkennen.

Tatsächlich ist inzwischen durch verschiedene News-Quellen ans Licht gekommen, dass diese Schwachstelle bereits Anfang Januar gefunden und an Microsoft gemeldet wurde. Ende Februar, kurz bevor Microsoft den Patch veröffentlicht hat, wurden weitläufige Angriffe bekannt. Das bedeutet, dass es einen beträchtlichen Zeitrahmen gibt, in dem die Schwachstelle ausgenutzt werden konnte.

Frage: Wie umfangreich schätzt man die Auswirkungen ein?

Ich gehe davon aus, dass Unternehmen nun überdenken werden, ob sie weiterhin ihr E-Mail-System auf On-Premises-Servern laufen lassen möchten – und die Wartungskosten gegenüber dem Hosting der geschäftskritischen Systeme bei einem vertrauenswürdigen Cloud-Anbieter abwägen.

Weitere Informationen:

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/