Ein Exchange Server dient als zentrale Ablage und Verwaltung von E-Mails, Kontakten, Aufgaben oder Terminen und ist im Rahmen des Microsoft-Online-Dienstes Microsoft 365 in der aktuellen Version 2019 enthalten, betroffen sind nach aktuellem Kenntnisstand nur die lokal gehostete Variante. Das Gegenstück, also die entsprechende Client-Software wird mit Microsoft Outlook bereitgestellt.
Um das System zu kompromittieren, ist es notwendig mehrere Probleme in der Software zu kombinieren um als unauthentifizierter Nutzer von außen Zugriff zu bekommen. Die erste Schwachstelle in diesem Fall ist der Client Access Service (CAS) von Exchange. Dieser ist für die Abwicklung des eingehenden Datenverkehrs für verschiedene Protokolle zuständig und ließ aufgrund der Schwachstelle den unauthentifizierten Nutzer passieren. Letztendlich war das offene Tor die Autodiscover-Funktion. Dabei rufen Mail-Clients bei der Einrichtung die Details zum Server ab und erleichtern dem Nutzer diesen Vorgang, da sich dadurch die Eingabe der Serveradresse, Port und weitere Details erübrigt. Über diese Funktion ist es nun möglich Schadcode im System mit erhöhten Rechten auszuführen.
Bei diesem Angriffsszenario ist davon auszugehen, dass es den Angreifern möglich ist, Schadcode auszuführen. Dadurch können Webshells gestartet werden, um weitere Schadsoftware nachzuladen, oder ganze Systeme zu verschlüsseln. Dies führt schlimmstenfalls zur vollständigen Kompromittierung des Systems. Zudem können Daten abgeführt oder Rechenleistung entzogen werden.
Da Microsoft besagte Lücken schon im April und Mai gepatcht hat, liegt die Verantwortung nun bei den Admins zu überprüfen, ob deren Mailserver up to date sind. Die Lücken wurden mit KB5001779 und KB5003435 geschlossen. Achten Sie stets darauf, Sicherheitspatches regelmäßig einzuspielen, um im Ernstfall gewappnet zu sein. Außerdem ist es empfehlenswert, den Server nur lokal und nicht öffentlich via Internet zu betreiben.
Sollten die aktuellen Patches noch nicht eingespielt worden sein, ist umgehend zu prüfen ob verdächtige Aktivitäten stattgefunden haben. Das können etwa Zugriffe auf „/autodiscover/autodiscover.json“ oder „/mapi/nspi/“ in den IIS-Logs sein.
Außerdem hat der Sicherheitsexperte Kevin Beaumont ein ProxyShell-Skript für den nmap-Scanner veröffentlicht, mit dem Administratoren ihre eigenen Server testen können. Es testet konkret auf Anfälligkeit für die Schwachstelle CVE-2021-34473, die zu ProxyShell gehört.
Wenn ein Angriff festgestellt wurde, ist im Einzelfall zu prüfen, ob es sich dabei um eine meldepflichtige Datenpanne nach Art. 33 DSGVO handelt. Das ist dann der Fall, wenn es zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist, z.B. weil Daten abgeflossen sind. Hier ist zu beachten, die Datenpanne ist innerhalb 72 Stunden der zuständigen Aufsichtsbehörde zu melden.
Gerne unterstützen wir Sie bei allen Fragen rund um das Thema Datenschutz und IT-Sicherheit. Rufen Sie uns einfach in der Zentrale in Hutthurm unter +49 (0) 8505 91927 – 0 oder in unserer Niederlassung in München unter +49 (0) 89 413 2943 – 0 an oder nutzen Sie unser Kontaktformular.
Unser Team – Ihr Vorteil | Hier stellen wir uns vor.
Unser Team besteht aus erfahrenen Juristen, Webspezialisten, IT-Experten, zertifizierten Datenschutz- und Informationssicherheitsbeauftragten. Mit unserer Erfahrung, Expertise und erprobten Verfahren, helfen wir Unternehmen, praxisnahe Lösungen im Bereich Datenschutz und Informationssicherheit zu finden. So helfen wir beispielsweise bei der Umsetzung der DSGVO oder der Einführung von Informationssicherheitsmanagementsystemen (ISMS).