Zum Inhalt springen Zur Navigation springen
Webinar Gefährliche Microsoft-Exchange-Lücke: Fragen und Antworten

Webinar Gefährliche Microsoft-Exchange-Lücke: Fragen und Antworten

Artikel von Dr. Datenschutz·8. Juni 2021

In unserem kostenlosen Webinar zum Thema „Gefährliche Microsoft-Exchange-Lücke und deren Folgen“ haben wir einige Einblicke zu den Hafnium-Angriffen zu Beginn dieses Jahres geliefert. An dieser Stelle möchten wir uns zunächst für die rege Teilnahme bedanken und freuen uns, dass wir ihnen die Thematik näherbringen durften. In diesem Beitrag widmen wir uns ein paar ausgesuchten Fragen der Webinar-Teilnehmer.

Rückblick auf das Webinar

Neben den etablierten Webinaren zu den Themen Microsoft 365, Auftragsverarbeitung und Informationspflichten bieten wir auch ein kostenloses Format an. Am 27. Mai 2021 hat die intersoft consulting services AG die Grundzüge der als Hafnium-Attacken bekannt gewordenen Angriffe vorgestellt. In dem Webinar wurde erläutert, wie es zu den Angriffen kommen konnte, wieso allein in Deutschland tausende Server betroffen waren und wie man einen derartigen Angriff hätte verhindern können. Auch wurde ein Blick auf die Folgen der Angriffe geworfen, zu denen Diebstahl von Anmeldeinformationen, Verschlüsselung und der Abfluss von geschäftskritischen Daten in einem selten beobachteten Ausmaß zählen.

Dies machte die Ausnutzung der entsprechenden Exchange-Sicherheitslücken zu einem der größten Sicherheitsvorfälle der letzten Jahre und verursachte Schäden in Millionenhöhe. Aufgrund der Schwere der Vorfälle, möchten wir die Chance nutzen und an dieser Stelle einige Fragen aufgreifen, welche während des Webinars anfielen.

Ausgesuchte Fragen der Webinar-Teilnehmer

Die hier behandelten Fragen, haben uns im Verlauf des Webinars erreicht. Da wir an dieser Stelle nicht alle beantworten können, möchten wir uns auf die, aus unserer Sicht, relevantesten Fragestellungen fokussieren. Wir hoffen, dass wir Ihnen auf diesem Wege noch mehr Klarheit verschaffen können und die wichtigsten Aspekte der Fragen beleuchtet werden.

Nach welchen Anzeichen kann gesucht werden?

Auch wenn sich für die Angreifer nach einer erfolgreichen Hafnium-Attacke eine Vielzahl von Möglichkeiten bieten, so konnte in der Mehrzahl der Fälle ein relativ einheitliches Vorgehen beobachtet werden. Die wichtigsten Fundorte sind dabei die Logdateien, das Dateisystem und etwaige PowerShell-Ausführungen.

Hinweise in den Logdateien

Erste Hinweise finden sich dabei in den Logdateien des Servers. Die Täter nutzen eine sogenannte Remote Code Execution Schwachstelle aus. Die zur Ausnutzung dieser Sicherheitslücke notwendigen Interaktionen mit dem Server, können in den Logdateien nachvollzogen werden. Hierbei kann beispielsweise in den ECP-Logdateien nach Strings der Form S:CMD=Set-OabVirtualDirectory.ExternalUrl= gesucht werden.

Suche im Dateisystem

Ein weiterer Ansatzpunkt ist die Suche nach Webshells im Dateisystem. Diese werden von Angreifern zur späteren Remote-Steuerung der Systeme verwendet und finden sich häufig in den Unterordnern von „inetpub“. Auch die Verzeichnisstruktur unterhalb von „HttpProxy“ im Frontend-Verzeichnis des Servers wird häufig zur Ablage der Webshells verwendet. Die mit Abstand am häufigsten verwendeten Webshells sind dabei die sogenannten ChinaChopper, welche meist im .aspx-Format abgelegt werden. Deshalb kann es sich lohnen nach Dateien mit der Endung „.aspx“ zu suchen und deren Rechtmäßigkeit zu überprüfen.

An dieser Stelle sei angemerkt, dass ASPX-Dateien bei vielen Systemen ganz regulär vorhanden sind und die maliziösen unter ihnen erst identifiziert werden müssen. Hierfür kann ein Blick in den Aufbau und Inhalt der jeweiligen Webshell hilfreich sein.

Anhaltspunkte für PowerShell-Ausführungen

Möglicherweise kann es ebenfalls lohnenswert sein, die Log-Dateien der PowerShell genauer zu betrachten. Im Zusammenhang mit den Exchange-Lücken wurde häufig die Ausführung von PowerShell-Kommandos, welche eingebetteten Base64-Code beinhalteten, beobachtet. Wenn man diesen decodiert, ist schnell erkennbar, dass eine Verbindung zu externen Internet-Server hergestellt werden soll. Auch kann die Ausführung von PowerShell-Skripten mittels einer Umgehung der ExecutionPolicy erste Hinweise auf eine mögliche Kompromittierung liefern. In diesem Fall sollte auf Parameter wie „-eq bypass“ bei der Ausführung von PowerShell-Skripten geachtet werden.

Geplante Aufgaben untersuchen

Im Zuge der Loganalyse sollte außerdem überprüft werden, ob im fraglichen Zeitpunkt Scheduled Tasks erstellt wurden und ob diese rechtmäßig sind. Auch hierfür existiert eine gesonderte Log-Datei, welche die Erstellung, Ausführung und Löschung von Scheduled Tasks protokolliert. Ein unbekannter Task kann in diesem Fall auf eine Kompromittierung des Systems hindeuten. Besonders sollte auf die regelmäßige Ausführung von PowerShell-Skripten und unbekannten Programmen geachtet werden.

Neben den hier erläuterten Anzeichen einer Hafnium-Attacke, gibt es noch eine Reihe anderer Merkmale. Diese werden in Form einer forensischen Untersuchung überprüft und erlauben eine Einschätzung des Umfangs des erfolgten Angriffes. Auch bieten die hier genannten Merkmale nur Anhaltspunkte und müssen näher analysiert werden, um eine eindeutige Aussage treffen zu können.

Kann eine Ausleitung von Daten ausgeschlossen werden?

Vielen Unternehmen stellte sich im Zusammenhang mit den Exchange-Lücken die Frage, ob das Abfließen geschäftskritischer Daten ausgeschlossen werden kann. Diese Frage ist nicht immer einfach zu beantworten. Auch wenn in einer genaueren forensischen Untersuchung keine Hinweise auf einen Datenabfluss gefunden werden, so sollte es doch nie ganz ausgeschlossen werden.

Dies ist einer von vielen Gründen, warum sich bereits im Vorfeld eines Angriffes mit der Frage der IT-Sicherheit beschäftigt werden sollte. Eine gut ausgearbeitete IT-Sicherheitsstrategie kann einen Angriff in den ersten Zügen detektieren und verringert dadurch die Wahrscheinlichkeit einer erfolgreichen Attacke. Parallel hierzu treten auch die Möglichkeiten für einen Datenabfluss weniger zahlreich zu tage.

Wie sollte im Falle eines Angriffes reagiert werden?

Bei der Reaktion auf einen Angriff, sind viele verschiedene Faktoren von Bedeutung. Im Kontext der Exchange-Sicherheitslücken ist die Reaktion maßgeblich von den Intentionen der Angreifer abhängig. Auch hier ist also festzustellen, dass eine pauschale Antwort nicht immer möglich ist.

Eine Faustregel bei IT-Angriffen ist es, die Systeme nach Möglichkeit nicht auszuschalten. Durch das Herunterfahren gehen volatile Daten, wie der Inhalt des Arbeitsspeichers, verloren. Diese stehen im Anschluss nicht mehr für die Untersuchung des Vorfalls zur Verfügung, wodurch kritische Sicherheitslücken möglicherweise nicht entdeckt werden können.

Sinnvoller ist es dabei meist, die Systeme in Betrieb zu halten und deren Kommunikation mit anderen Systemen zu unterbinden. Klassisch kann dies beispielsweise durch das Ziehen des Netzwerksteckers erreicht werden.

Wie so oft gibt es aber auch hier Ausnahmen. Im Falle einer laufenden Verschlüsselung kann ein abschalten der Systeme sinnvoll sein. Zwar gehen auch hier wichtige Datenquellen verloren, aber im Zweifel steht die Rettung der verbleibenden Daten im Vordergrund. In einem solchen Fall muss die Erhaltung der Spuren gegen die Relevanz unversehrter Unternehmensdaten abgewogen werden.

In Folge eines Hafnium-Angriffes sollten die Systeme aber zwingend auf den aktuellen Stand gebracht werden und die nötigen Konsequenzen aus den Angriffen gezogen werden. Hierzu können Überlegungen der Netzwerksicherheit zählen, aber auch eine detaillierte Auswertung des Angriffs.

Wie könnte eine geeignete Backup-Strategie aussehen?

Um im Falle eines Angriffes mögliche Schäden so gering wie möglich zu halten, ist eine geeignete Backup-Strategie notwendig. Sie schützt zwar nicht vor dem eigentlichen Angriff, kann aber dem Verlust von wichtigen Daten entgegenwirken. Im Zuge der Hafnium-Angriffe wurden nicht selten ganze Unternehmensnetzwerke verschlüsselt. Der akute Datenverlust geht oft mit dem Verlust der Geschäftsfähigkeit einher und ist somit existenzgefährdend. Um dies zu verhindern, sollte bereits im Vorfeld eine Backupstrategie vorhanden sein.

Die zwei wichtigsten Punkte dieser Strategie sollten die Regelmäßigkeit und die Verfügbarkeit der Backups sein. Als Faustregel gilt dabei:

  1. Umso kritischer die Daten sind, desto häufiger sollten diese gesichert werden. Hierdurch wird der Verlust im Falle eines Angriffes minimiert.
  2. Der zweite wichtige Punkt ist die Verfügbarkeit der Backups und das auch über den Zeitpunkt des Angriffes hinaus. Sind die Backups auf einem Server gespeichert, der ebenfalls von der Verschlüsselung betroffen ist, so nützen auch die kürzesten Sicherungsintervalle wenig.

Deshalb sollte darauf geachtet werden, dass Backups auf externe Systeme gesichert werden. Es muss also sichergestellt werden, dass der Sicherungsort nicht von einem Angriff betroffen sein kann und gemachte Updates jederzeit zum wieder Einspielen zur Verfügung stehen.

Ganz so einfach ist es aber nicht…

Die genaue Ausgestaltung eines solchen Konzepts ist jedoch wesentlich komplexer und muss auf die Bedürfnisse eines jeden Unternehmens zugeschnitten werden. Gern unterstützen Sie unsere IT-Forensiker bei präventiven Maßnahmen oder im IT-Notfall. Für eine weiterführende individuelle Beratung in diesem Themenumfeld steht Ihnen unser Vertriebsteam unter sales@intersoft-consulting.de sehr gern zur Verfügung.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.