Sie verwenden einen veralteten Browser. Bitte aktualisieren Sie Ihren Browser.

envia TEL Blog

Schwachstellen im Microsoft Exchange Server – envia TEL hat die Lösung

Computertastatur zeigt ein Schloss-Symbol mit der Bezeichnung enGiga Secure

Veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) eine Meldung der Warnstufe vier/rot, ist die IT-Bedrohungslage extrem kritisch. Viele Dienste fallen aus und der Regelbetrieb von Unternehmen kann nicht aufrechterhalten werden. Wie selten dies geschieht, zeigt die Tatsache, dass das BSI Anfang März erst zum zweiten Mal seit dem Bestehen jene Warnmeldung veröffentlicht und damit auf einen Angriff auf zehntausende Microsoft Exchange Server reagiert hat. 

Microsoft Exchange – was ist das?

Weltweit schätzen und nutzen eine Vielzahl von staatlichen sowie privaten Unternehmen Microsoft Exchange Server. Über diese Anwendung kann die gesamte E-Mail-Kommunikation einer Firma gesteuert, Adressen und Kalender verwaltet sowie E-Mails auf Spam oder schädliche Inhalte geprüft werden.

Was ist geschehen?

Bereits im Januar 2021 hat die IT-Security Firma Volexity auffällige Netzwerkaktivitäten bei zwei Kunden festgestellt. Microsoft stellte in der Nacht zum 3. März sogenannte Out-of-Band-Updates zur Verfügung, die Schwachstellen in der Server-Anwendung Microsoft Exchange schließen sollten. Betroffen waren Exchange-Server-Versionen von 2010 bis 2019. Microsoft sah die Bedrohung zunächst als relativ gering an, jedoch entwickelte sich daraufhin eine außerordentliche Angriffswelle auf ungepatchte Exchange-Server-Instanzen. Sogenannte Patches dienen der Korrektur von Anwendungen oder Betriebssystemen, um Sicherheitslücken zu schließen oder Fehler zu korrigieren. 

Verantwortlich für die Angriffe soll die chinesische Hacker-Gruppe Hafnium sein, die damit versuchte die Groupware-Software mit ihrem Schadcode zu infizieren und somit zu kompromittieren. Die Schwachstellen galt es daher so schnell wie möglich zu behandeln, da durch diese nicht nur Informationen gesammelt und Daten missbraucht, sondern auch Zugriff auf E-Mails sowie Termine erlangt werden konnten. Darüber hinaus bestand die Gefahr, dass es zu Fernsteuerungen von Rechnern kommt. Bei weltweit mehr als 100.000 betroffenen Servern belief sich die Zahl in Deutschland auf 26.000. Geschädigt sind dabei nicht nur Unternehmen, Institutionen und Behörden, sondern auch Banken, Anwaltskanzleien und Forschungseinrichtungen. Auch der Rüstungssektor und Nichtregierungsorganisationen (NROs) stellten Ziele des Angriffs dar. 

Wie wurde auf den Angriff reagiert?

Microsoft und CERT-Bund, das Computer-Notfallteam des BSI, sprachen die dringende Empfehlung aus, die von Microsoft bereitgestellten Sicherheitspatches einzuspielen. Anschließend empfehlen sie zu untersuchen, ob es den Hackern bereits gelungen war, unberechtigt in das Computersystem einzudringen, um dort gespeicherte Daten auszuspähen oder zu manipulieren. Entscheidend war an dieser Stelle nicht nur den Exchange Server selbst zu überprüfen: Fehlerhafte oder unvollständige Schutzmaßnahmen können zur Folge haben, dass sich Eindringlinge im Netzwerk durch das sogenannte Lateral Movement weiter ausbreiten und andere Systeme infizieren. Die Untersuchung des Angriffs führte weiterhin dazu, dass eine neue Klasse von Ransomware entdeckt wurde. Die Schadsoftware DearCry wurde in Folge der entdeckten Schwachstellen eingeschleust, um Dateien auf angegriffenen Systemen zu verschlüsseln. Eine Freigabe und weitere Nutzung ist nur möglich, wenn Lösegeldforderungen als Gegenleistungen für Entschlüsselungstools nachgegeben wird. Obwohl jener Angriff in allen großen Medien verbreitet wurde, waren sich viele Kunden nicht darüber im Klaren, dass sie einer Bedrohung ausgesetzt sind. Viele Unternehmen reagierten erst sehr spät mit entsprechenden Sicherheitsvorkehrungen. Mittlerweile hat das BSI die Warnstufe auf drei/orange gesenkt. Microsoft konnte schnell Sicherheitsupdates liefern und ein Großteil der anfälligen Exchange Server wurden durch die betroffenen Unternehmen auf einen aktuellen Stand gebracht. Trotzdem konnte das BSI auch mehrere Wochen nach Bekanntwerden des Angriffs weit über 12.000 verwundbare Server in der Bundesrepublik ausfindig machen. Sind Daten erst einmal in fremde Hände geraten und abgeflossen, so kann dies nicht mehr rückgängig gemacht werden. Deshalb gilt es, Bedrohungen in der Informationssicherheit schnellstmöglich zu erkennen, um frühzeitig darauf reagieren zu können.

enGiga Secure – die Lösung für umfassende Netzwerksicherheit

envia TEL bietet Kunden die Möglichkeit, komplexe Sicherheitstechnologien zuverlässig und komfortabel zu nutzen. Mit enGiga Secure wird Kunden ein permanenter, symmetrischer Internetanschluss auf Glasfaserbasis zu Verfügung gestellt, der zusätzlich über ein redundantes, leistungsfähiges sowie hochverfügbares Firewall-System von Fortinet abgesichert wird. Fortinet hat es geschafft, frühzeitig Updates für Ihre Sicherheitslösungen bereitzustellen. Bereits einen Tag nach Veröffentlichung der Exchange Server Schwachstelle standen dem Unified Threat Management von enGiga Secure neue Signaturen zu Verfügung. Durch die umfassenden Sicherheitsfunktionen der integrierten Next Generation Firewall (NGFW), konnten Angriffe nicht nur erkannt, sondern auch blockiert werden. Versuche, die Schwachstellen auszunutzen, wurden so von der Firewall protokolliert und Kunden mittels eingerichteter Sicherheitsreports umgehend über verdächtige Vorfälle informiert. Damit Daten aus bereits infiltrierten Systeme nicht abfließen, wurden von Fortinet zusätzlich aktualisierte Anti-Viren Signaturen zur Verfügung gestellt. Auch für die Ransomware DearCry standen nur ein Tag nach der Veröffentlichung Signaturen bereit und der entsprechende Schadcode konnte somit aus dem Netzwerkverkehr entfernt werden.

enGiga Secure – Kunden genießen demnach den Vorteil, dass im Falle einer Bedrohung keine weiteren Maßnahmen ihrerseits notwendig sind. envia TEL deckt mit ihrem Service nicht nur den sicheren Betrieb der Firewall, sondern auch sämtliche Komponenten im Datacenter Leipzig ab. Ein kontinuierlicher 24/7 Allround-Schutz verspricht darüber hinaus noch mehr: Wenn alle getroffenen Sicherheitsmaßnahmen ausgeschaltet werden und Server kompromittiert werden, verhindert eine Demilitarisierte Zone (DMZ) das Vordringen in weitere private Netzwerksegmente, wodurch sich Angreifer nicht weiter ausbreiten können. Kunden des Datacenter Leipzig können dafür ihre Infrastruktur mittels einer DMZ an enGiga Secure anbinden. Damit die Netzwerksicherheit vor allem eines bleibt: Sicher.

Porträt von Stephan Riedel - Experte für Sicherheit und Cloud-Dienste bei envia TEL.

Autor: Stephan Riedel
Spezialist für IT-Sicherheit und Cloud-Dienste bei envia TEL. #SecurityByDesign #CloudEnthusiast #DigitalFirst