Am 2. März hat Microsoft in seinem Security-Blogbeitrag „HAFNIUM targeting Exchange Servers with 0-day exploits“ bekannt gegeben, dass vier gravierende Schwachstellen in Microsoft Exchange-Servern aktiv ausgenutzt werden und daraufhin Updates bereitgestellt.
Tätern ermöglicht die Kombination der vier Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) zielgerichtete Angriffe auf die weitverbreitete Groupware, um Daten abzugreifen und weitere Schadsoftware zu installieren. Der Angriff wird als „ProxyLogon“ bezeichnet und erlaubt das Ausführen von Code aus der Ferne. Initiale Voraussetzung hierfür ist der Aufbau nicht-vertrauenswürdiger Verbindungen auf Port 443 zu einem Exchange-Server, beispielsweise durch einen aktivierten Outlook Web Access-Zugang (OWA) oder anderer Exchange Web Dienste (ActiveSync, Unified Messaging (UM), dem Exchange Control Panel (ECP) VDir, den Offline Address Book (OAB) VDir Services etc.). Nicht betroffen ist Exchange Online.
Hacker-Gruppe HAFNIUM im Visier
Laut Microsoft soll HAFNIUM hinter der Angriffswelle stecken und weltweit hunderttausende Systeme kontrollieren. Nach der Einschätzung des Konzerns soll die Hacker-Gruppe für die chinesische Regierung arbeiten und vor allem US-amerikanische Ziele ausspionieren.
Bei jedem Vorfall haben die Eindringlinge eine sogenannte „Web-Shell“ hinterlassen, ein einfach zu bedienendes, passwortgeschütztes Hacking-Werkzeug, auf das über das Internet von jedem Web-Browser aus mit Administrator-Rechten zugegriffen werden kann.
Sicherheitswarnung des BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zu den Microsoft Exchange-Schwachstellen eine Cyber-Sicherheitswarnung herausgegeben. Nach der Ansicht des BSI ist die IT-Bedrohungslage als extrem kritisch einzustufen. Ein Ausfall des Dienstes und die damit oftmals einhergehende Unterbrechung des Regelbetriebs könne nicht ausgeschlossen werden. Seit September 2019 hat das BSI dort insgesamt sieben bedrohliche Angriffsvektoren veröffentlicht, die z. B. durch herausgehobene Einzelvorfälle bekannt geworden sind, dieser erstmals mit der dort höchsten Einstufung „4 / Rot“.
Das BSI mahnt, diese kritischen Schwachstellen sofort durch Einspielen der bereitgestellten Updates zu beseitigen. Es bestehe dennoch eine hohe Wahrscheinlichkeit, dass, selbst wenn die IT-Systeme umgehend gepatcht worden sind, sich die Hacker-Software bereits auf einem anfälligen Server befindet und es somit bereits zu einer Kompromittierung gekommen ist. Daher sollten die Exchange-Systeme auf bekannte „Web-Shells“ untersucht werden.
PowerShell-Skript zur Überprüfung
Microsoft stellt ein PowerShell-Skript bereit, mit dem Administratoren ihre Systeme prüfen können. Das Skript soll Gewissheit geben, ob ein Exchange-Server bereits erfolgreich angegriffen wurde.
Das auf der GitHub-Plattform bereitgestellte PS-Skript „Test-ProxyLogon.ps1“ sucht nach Angriffsmerkmalen, die für „ProxyLogon“ typisch sind. Microsoft hatte dazu die Details in dem oben benannten Security-Blogbeitrag veröffentlicht. Dieses PowerShell-Skript fasst die manuellen Tests zusammen und macht es Administratoren erheblich einfacher, ihre Exchange-Installationen zu prüfen. Das Skript durchsucht u. a. Exchange-Logs, Exchange-HttpProxy-Logs und Windows-Application-Event-Logs.
Fazit
Exchange-Administratoren sollten die in den letzten Tagen veröffentlichten Schwachstellen sofort durch das Einspielen der neuesten Updates schließen und ihre Systeme auf einen möglicherweise erfolgten Angriff untersuchen.