Seit Tagen wird in verschiedenen Medien vor einem großflächigen Angriff auf Microsoft-Exchange-Mailserver gewarnt. Hinter dem Angriff steckt nach Informationen von Microsoft die Gruppe Hafnium. Das Bundesamt für Sicherheit in der Informationstechnik ruft Code Red aus und manch einer fragt sich, ist es wirklich so ernst? Ja, definitiv.
Der Inhalt im Überblick
Wie alles begann
Seit letzten Mittwoch überschlagen sich die Ereignisse. Ein großflächiger Angriff auf Microsoft-Exchange-Server infiltriert zahlreiche Unternehmen. Dieser soll durch die chinesische Hackergruppe „Hafnium“ durchgeführt werden, Ziel sind dabei vornehmlich amerikanische Unternehmen, dennoch sind auch viele deutsche Unternehmen betroffen. Als die Warnung am 3. März publiziert wurde, war es anscheinend für viele Server bereits zu spät. Der seit 2. März laufende Angriff hat bereits zahlreiche Server erfolgreich kompromittiert.
Hierbei wurden sogenannte Zero-Day-Lücken ausgenutzt, also Schwachstellen, die bis dahin nicht publiziert wurden und für die auch keine Updates bereitstanden. Pikant ist, dass Microsoft von den Problemen bereits Anfang Januar wusste und die Patches zum Schließen der insgesamt vier, nun für den Angriff kombinierten, Schwachstellen ursprünglich für den 9. März terminierte. Aufgrund der Angriffswelle wurden diese nun außer der Reihe am 3. März veröffentlicht.
Wer ist konkret betroffen?
Ziel des Angriffs sind Exchange-Server in den Versionen 2013, 2016 und 2019 für welche entsprechende Patches bereitstehen. Auch für Exchange 2010 steht ein Patch bereit, auch wenn dieser Server nicht mehr offiziell von Microsoft unterstützt wird. Der Microsoft-Exchange-Online-Dienst ist nicht betroffen – heile Welt in der Cloud also. Microsoft hat inzwischen eine Reihe von Anleitungen und Indicators of Compromise (IoCs) zum Selbsttest sowie ein Skript bereitgestellt, um die eigenen Server auf eine Infektion zu prüfen.
Betroffen sind alle Server, die über das Internet via Webzugriff über Port 443 erreichbar sind. Dies ist z.B. bei der Nutzung von Outlook Web Access (OWA) der Fall. Exchange-Server, die ausschließlich via VPN diesen Zugriff ermöglichen, sind nicht betroffen. Durch Kombination der Schwachstellen konnte Schadcode in Form von Webshells hochgeladen und ausgeführt werden.
Was ist denn eine Webshell?
Eine Webshell ist im Grunde eine Kommandozeile, die im Browser in der Form einer Webseite läuft. Ein Angreifer von Hafnium kann somit beliebige Befehle absetzen in derselben Form wie ein Administrator, der vor dem Server sitzt. Mit welchen Rechten er dabei unterwegs ist, hängt von dem Dienst ab, welcher die Webshell gestartet hat. In diesem Fall wird diese durch den Exchange-Dienst gestartet, der Angreifer kann somit administrative Rechte oder Systemrechte erlangen. Ein Angreifer mit Systemrechten, der beliebige Befehle auf dem Server ausführen kann, ist definitiv nicht gut.
Erste Schritte nach dem Hafnium-Angriff
Hat man mittels der Handreichung eine Infektion auf den eigenen Systemen erkannt, reicht es für einen sicheren Betrieb nicht aus Patches einzuspielen, die Webshells zu löschen und das System wieder an das Netzwerk anzuschließen. Wenn der Angreifer erfolgreich gewesen ist, sollten die Tätigkeiten auf dem Server forensisch untersucht und ggf. eine Ausweitung des Angriffs überprüft werden.
Wie Microsoft bereits dokumentiert hat, wird in der Regel ein Abbild des lsass-Prozesses gezogen. Dieser enthält u.a. die Passwort-Hashes sowie weitere Tokens und Tickets, um sich im Netzwerk zu authentifizieren. Die Hacker von Hafnium können sich mit diesen Daten potenziell auf weiteren Systemen in der IT-Infrastruktur anmelden und Schaden verursachen. Darüber hinaus können sich die Angreifer sowohl auf dem Exchange-Server selbst als auch auf dritten Systemen nachhaltigen Zugriff abseits der eigentlichen Webshells, z.B. in Form von Backdoors, sichern.
Somit sollte die erste Untersuchung darauf abzielen, ob es laterale Bewegungen im Netzwerk ausgehend von dem betroffenen Exchange-Server gibt. Konnte der Angreifer bis zum Active Directory vordringen und hat er dabei die notwendigen Rechte erlangt, kann die Vertrauensstellung der Windows-Domäne nachhaltig zerstört sein. Der größtmögliche Schaden ist also die komplette Neuinstallation der gesamten Windows-Umgebung.
Und nein, dies trifft nicht wie immer „nur die anderen“. Die breite Streuung des Angriffs zeigt, dass sich im Grunde nur diejenigen sicher fühlen können, die keinen Exchange-Server betreiben.
Weiterhin ist natürlich zu prüfen, ob und wenn ja, welche Daten abgeflossen sind. Aufgrund der Tatsache, dass in der Regel mindestens Zugangsdaten, wie Benutzernamen und Passwörter, von Angreifern entwendet werden, liegt bereits hier ein meldepflichtiger Datenschutzvorfall vor.
Weitere wichtige Maßnahmen
Wie bereits beschrieben, die erste Maßnahme ist, die vollständige Analyse des Vorfalls. Während des Incident Response, werden weitere Systeme identifiziert. Diese sollten automatisch in die forensische Analyse mit einbezogen werden. Eines der ersten Ziele ist es, herauszufinden, welche Benutzer für den Login verwendet werden bzw. welche kompromittiert wurden.
Viele haben bei Bekanntwerden der Infektion bereits die Exchange-Server vom Internet getrennt. Bis zur vollständigen Bereinigung sollte dies auch so bleiben, selbstverständlich sollten alle Systeme, nicht nur die Exchange-Server, bei der Gelegenheit auf den aktuellen Stand gepatcht werden. Microsoft hat für dieses besondere Ereignis einen Patch außer der Reihe bereitgestellt, der nicht, wie sonst, auf die vorher veröffentlichen Patches angewiesen ist. So können auch ältere Patch-Stände schnell auf den aktuellen sicheren Stand gebracht werden.
Sind alle Systeme und Konten identifiziert, können diese in einer koordinierten Aktion bereinigt und der Angreifer ausgesperrt werden. Für weitere Untersuchungen, z.B. zwecks Erkennens eines Datenabflusses, sollten Kopien weiter vorgehalten werden. Der eigentliche Betrieb kann dann aber wieder anlaufen.
Ohne eine Analyse der betroffenen Systeme, diese wieder in den Betrieb zu nehmen, birgt das nicht geringe Risiko, dass der Angreifer weiterhin Zugriff auf ihre Systeme und ihre Daten hat.
Ist es jetzt ein Code Red?
Zusammengefasst lässt sich sagen, dass unbekannte Sicherheitslücken in einer enormen Breite ausgenutzt wurden. Der Angreifer hatte dadurch per se hohe Rechte auf einem der wichtigsten IT-Systeme in einer IT-Infrastruktur erlangt, mit dem Potential sich zu verbreiten und u.a. alle Postfächer auszuspähen. Wenn das kein Code Red ist, was dann? Insbesondere da sich ein Exchange-Server nicht „mal eben“ patchen lässt. Somit kann der Angreifer darauf bauen, dass die meisten Systeme nicht innerhalb weniger Stunden up to date sind.
Der Weg zur Heilung des Hafnium-Hacks heißt deshalb:
- Prüfen
- Aktuellen Stand für forensische Untersuchungen sichern
- Patchen
- Isolieren und Analysieren
- Aussperren und Bereinigen
Stand 8. März, also mehrere Tage nach der ersten medialen Welle, sind laut CERT-Bund noch tausende Server verwundbar.
Vielen Dank für den Artikel.
Hier wird von einer Fehlinformation ausgegangen „Heile Welt in der Cloud“…
Richtiggestellt, müsste es so heißen:
Der Angriff wurde speziell auf die „OWA“ Schnittstelle durchgeführt, also an alle Exchange Server die über das Internet erreichbar waren. Nur bei solchen Servern wurde ein Backdoor installiert, die mehr als 15 User hatten. Weniger als 15 User wurden zwar angegriffen, aber nichts installiert. Da es aber in der Cloudlösung keine OWA Schnittstelle gibt, konnte hier auch kein Angriff durchgeführt werden. Leider stellt das Microsoft jetzt als „Heiligen Gral“ dar.
Microsoft wusste von der Lücke und tat nichts. Jetzt werden wieder mehr Unternehmen in die Cloud gehen und MS noch mehr Geld in den Rachen werfen. Ich vergleiche das gerne mit der Schummelsoftware der Autohersteller. Die wissen ganz genau, das sie Mist gebaut haben, aber bieten den Kunden lieber eine Rabatt für ihren nächsten Neuwagen an wo jeder trotzdem draufzahlt.
Genau so macht es jetzt Microsoft.
Schöne neue Welt…
„Heile Welt in der Cloud“ darf gerne mit einer gewissen Ironie gelesen werden. Exchange Online basiert auf einer anderen Architektur und ist deshalb nicht betroffen, natürlich wird Microsoft das jetzt marketingtechnisch ausschlachten.
Der andere Punkt von Ihnen ist leider nicht ganz richtig. OWA war eine der möglichen Webseiten, es ist aber nicht die einzige. ECP und OAB sind z.B. ebenfalls mögliche Ziele. Das Problem ist generell, das Exchange bestimmte Abfragen über Https / Port 443 falsch abhandelt. Das hat das CERT-Bund auch in seinem Beitrag, verlinkt am Ende des Artikels, bestätigt.
Es ist aktuell wohl modern, heute nach jeder Kompromittierung den Kunden das Neuaufsetzen der gesamten IT zu empfehlen, anstatt fundiert die Systeme zu prüfen, zu isolieren und zu überwachen. Es ist leicht sich in externer Rolle so von jeglicher Verantwortung zu entbinden, eventuell vorher Denken bevor man unzählige Firmen mit derartigen Aussagen in den Ruin führt. Eine derartige Aussage ist nicht reversiebel, wurde Sie gegenüber der GF ausgesprochen muss diese aus Haftungsgründen dieser Folge leisten. Und dass sind sich die Berater wohl bewusst, plötzlich kommen dann Schaaren von Partnerfirmen zum Vorschein die ja doch so hilfreich bei der Umsetzung sind. Gerne werden für derartige Projekte dann zwischen 80 und 140k abgerechnet. Ob dann diese neuen Strukturen welche unter Zeitdruck entstehen, ohne tiefe Kenntniss der Betriebsprozesser der jeweiligen Unternehmen, sicherer sind bleibt offen.