Erneute Sicherheitslücke in Microsoft Exchange Servern

von Das Team der aigner business solutions GmbH

Der weit verbreitete Mailserver Microsoft Exchange ist erneut ins Visier von Cyber-Kriminellen geraten. Vergangene Woche stellte der Sicherheitsforscher Orange Tsai auf der Sicherheitskonferenz BlackHat eine neue Angriffsmethode namens ProxyShell auf die besagte Software vor. Dies veranlasst nun Kriminelle dazu, aktiv nach dieser Lücke zu suchen und sie auszunutzen, wie die Auswertungen verschiedener Honeypots darlegen. Als Honeypot wird in der Computersicherheit beispielsweise ein Server bezeichnet, der die Netzwerkdienste eines Computers, eines ganzen Rechnernetzes simuliert. Honeypots werden eingesetzt, um Informationen über Angriffsmuster und Angreiferverhalten zu erhalten. Aufgrund der dadurch erhaltenen Informationen ist diese Situation als sehr kritisch zu betrachten, insbesondere wenn der Microsoft Exchange Server via Internet erreichbar ist, was bei aktuell über 400.000 Servern der Fall ist.

Was ist ein Microsoft Exchange Server?

Ein Exchange Server dient als zentrale Ablage und Verwaltung von E-Mails, Kontakten, Aufgaben oder Terminen und ist im Rahmen des Microsoft-Online-Dienstes Microsoft 365 in der aktuellen Version 2019 enthalten, betroffen sind nach aktuellem Kenntnisstand nur die lokal gehostete Variante.  Das Gegenstück, also die entsprechende Client-Software wird mit Microsoft Outlook bereitgestellt.

Ausnutzung der Sicherheitslücke in Microsoft Exchange Servern?

Um das System zu kompromittieren, ist es notwendig mehrere Probleme in der Software zu kombinieren um als unauthentifizierter Nutzer von außen Zugriff zu bekommen. Die erste Schwachstelle in diesem Fall ist der Client Access Service (CAS) von Exchange. Dieser ist für die Abwicklung des eingehenden Datenverkehrs für verschiedene Protokolle zuständig und ließ aufgrund der Schwachstelle den unauthentifizierten Nutzer passieren. Letztendlich war das offene Tor die Autodiscover-Funktion. Dabei rufen Mail-Clients bei der Einrichtung die Details zum Server ab und erleichtern dem Nutzer diesen Vorgang, da sich dadurch die Eingabe der Serveradresse, Port und weitere Details erübrigt. Über diese Funktion ist es nun möglich Schadcode im System mit erhöhten Rechten auszuführen.

Welche Gefahren drohen durch die Sicherheitslücke in Microsoft Exchange Servern?

Bei diesem Angriffsszenario ist davon auszugehen, dass es den Angreifern möglich ist, Schadcode auszuführen. Dadurch können Webshells gestartet werden, um weitere Schadsoftware nachzuladen, oder ganze Systeme zu verschlüsseln. Dies führt schlimmstenfalls zur vollständigen Kompromittierung des Systems. Zudem können Daten abgeführt oder Rechenleistung entzogen werden.

Sicherheit wiederherstellen

Da Microsoft besagte Lücken schon im April und Mai gepatcht hat, liegt die Verantwortung nun bei den Admins zu überprüfen, ob deren Mailserver up to date sind. Die Lücken wurden mit KB5001779 und KB5003435 geschlossen. Achten Sie stets darauf, Sicherheitspatches regelmäßig einzuspielen, um im Ernstfall gewappnet zu sein. Außerdem ist es empfehlenswert, den Server nur lokal und nicht öffentlich via Internet zu betreiben.

Wie kann eine Kompromittierung festgestellt werden?

Sollten die aktuellen Patches noch nicht eingespielt worden sein, ist umgehend zu prüfen ob verdächtige Aktivitäten stattgefunden haben. Das können etwa Zugriffe auf „/autodiscover/autodiscover.json“ oder „/mapi/nspi/“ in den IIS-Logs sein.

Außerdem hat der Sicherheitsexperte Kevin Beaumont ein ProxyShell-Skript für den nmap-Scanner veröffentlicht, mit dem Administratoren ihre eigenen Server testen können. Es testet konkret auf Anfälligkeit für die Schwachstelle CVE-2021-34473, die zu ProxyShell gehört.

Was ist zu tun?

Wenn ein Angriff festgestellt wurde, ist im Einzelfall zu prüfen, ob es sich dabei um eine meldepflichtige Datenpanne nach Art. 33 DSGVO handelt. Das ist dann der Fall, wenn es zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist, z.B. weil Daten abgeflossen sind. Hier ist zu beachten, die Datenpanne ist innerhalb 72 Stunden der zuständigen Aufsichtsbehörde zu melden.

Gerne unterstützen wir Sie bei allen Fragen rund um das Thema Datenschutz und IT-Sicherheit. Rufen Sie uns einfach in der Zentrale in Hutthurm unter +49 (0) 8505 91927 – 0 oder in unserer Niederlassung in München unter +49 (0) 89 413 2943 – 0 an oder nutzen Sie unser Kontaktformular.

assets/images/b/datenschutzbeauftrag-443cfc9e.png
Das Team der aigner business solutions GmbH

Unser Team – Ihr Vorteil | Hier stellen wir uns vor.

Unser Team besteht aus erfahrenen Juristen, Webspezialisten, IT-Experten, zertifizierten Datenschutz- und Informationssicherheitsbeauftragten. Mit unserer Erfahrung, Expertise und erprobten Verfahren, helfen wir Unternehmen, praxisnahe Lösungen im Bereich Datenschutz und IT-Sicherheit zu finden. So helfen wir beispielsweise bei der Umsetzung der DSGVO oder der Einführung von Informationssicherheitsmanagementsystemen (ISMS).