Schutz vor kritischen Sicherheitslücken in Microsoft Exchange

Am 2. März 2021 veröffentlichte Microsoft dringend ein Update für Exchange Server 2010, 2013, 2016 und 2019, um vier kritische Sicherheitslücken zu schließen.

In dem veröffentlichten Artikel sagt Microsoft, dass diese Schwachstellen weltweit gegen große Unternehmen eingesetzt werden können. Angreifer verschaffen sich Fernzugriff auf Exchange-Server und können dann kritische Daten herunterladen, darunter auch das gesamte Postfach.

Gleichzeitig gibt Microsoft zu verstehen, dass nur Dienste, die innerhalb der Infrastruktur eingesetzt werden, bedroht sind. Exchange Online ist nicht gefährdet.

Wir zeigen, was genau diese Schwachstellen sind und wie Sie sich vor Angriffen schützen können.

Microsoft Exchange Server-Sicherheitslücken

1. CVE-2021-26855. Lässt Angreifer serverseitige Anfragen fälschen (Server-Side Request Forgery oder SSRF), wodurch es möglich ist, die Authentifizierung zu umgehen. Ein Angreifer sendet so gefälschte Anfragen und kann diese nutzen, um beliebigen Code auf dem Server aus der Ferne auszuführen.
2. CVE-2021-26857. Ermöglicht Angreifern, beliebigen Code auf dem System auszuführen. Es wird verwendet, um Systemkontorechte (SYSTEM) auf einem Server zu erhalten.
3. CVE-2021-26858. Erlaubt Angreifern, beliebige Dateien in einem System zu überschreiben oder Daten auf einem Server durch beliebige andere Daten zu ersetzen.
4. CVE-2021-27065. Wird auf die gleiche Weise wie die vorherige Sicherheitslücke verwendet.

Angreifer verwenden oft eine Kombination der genannten CVEs. Das Ergebnis ist ein komplexer Angriff, mit dem Angreifer wichtige Daten stehlen und den Unternehmensbetrieb ernsthaft beeinträchtigen können.

Wie Angreifer vorgehen

1. Exchange-Server mit einem offenen HTTP-Port 443 werden angegriffen.
2. Mit Hilfe der ersten Schwachstelle (CVE-2021-26855) verschaffen sich die Übeltäter Zugang und agieren dann im Auftrag des gekaperten Servers.
3. Anschließend verschaffen sie sich über die zweite Sicherheitslücke (CVE-2021-26857) SYSTEM-Rechte und führen bösartigen Code auf dem Server aus.
4. Gleichzeitig werden Kontodaten und Passwort-Hashes gesammelt.
5. Mit den so erhaltenen Rechten können die Angreifer direkten Zugriff auf Domänencontroller erlangen. Dadurch haben sie die Möglichkeit, die Privilegien in der Domäne zu vergrößern und sich dort dauerhaft festzusetzen.
6. Die Übeltäter suchen nach Daten, die für sie von Interesse sind, und stehlen diese unter Verwendung der letzten beiden Sicherheitslücken (CVE-2021-26858 und CVE-2021-27065).

Wie G-Core Labs seine Kunden vor Microsoft Exchange Server-Sicherheitslücken schützt

Wir bieten umfassenden Schutz für Webanwendungen, Webseiten und Server. Wir schützen Ihr System auch vor komplexen Angriffen, die Schwachstellen von Microsoft Exchange Server ausnutzen.

Unser Schutz beruht auf unseren eigenen Traffic-Filtering-Centern. Alle Serveranfragen, einschließlich Anfragen an MS Exchange-Dienste, werden über unsere Plattform geleitet und ausgewertet.

Wenn das System Unregelmäßigkeiten oder verfälschte Daten feststellt, wird die Anfrage sofort blockiert. So wird verhindert, dass Angreifer in das System gelangen, bösartigen Code ausführen oder Daten herunterladen können.

Was können Sie sonst tun, um sich zu schützen?

1. Aktualisieren Sie alle MS Exchange-Server über alle Domains. Wenn Sie den Patch in Ihrem Unternehmen nicht umgehend installieren können, probieren Sie die von Microsoft angebotenen Workarounds aus.

2. Verhindern Sie den unbefugten Zugriff auf Exchange-Server über Port 443. Da Cyberkriminelle über genau diesen Port in Server eindringen, hilft diese Maßnahme, einen Angriff bereits im Keim zu ersticken. Sie können auch alle Verbindungen, die außerhalb des Firmennetzwerks stattfinden, verbieten.

Diese Methode hilft jedoch nur gegen neue Angriffe und ist wirkungslos, wenn die Angreifer bereits in Ihre Server eingedrungen sind.

3. Verwenden Sie das PowerShell-Skript, das Microsoft gezielt veröffentlicht hat, um nach Hinweisen zu suchen, ob Ihre Server über diese Sicherheitslücken angegriffen wurden.

Um zu prüfen, ob Angreifer Ihre Server befallen haben, müssen Sie manuell Befehle in den Exchange HTTP-Proxy-Protokollen, Exchange-Protokolldateien und Windows-Anwendungsereignisprotokollen ausführen.

Wenn Sie alle MS Exchange-Server überprüfen möchten, verwenden Sie diesen Befehl:

Get-ExchangeServer | .\Test-ProxyLogon.ps1

Sie können den lokalen Server mit dem folgenden Befehl überprüfen:

.\Test-ProxyLogon.ps1

Wenn Sie die Ergebnisse der Überprüfung speichern möchten, fügen Sie den folgenden Befehl zu den oben aufgeführten Befehlen hinzu:

-OutPath $home\desktop\logs

Wenn Sie alle Exchange-Server überprüfen und die Ergebnisse speichern möchten, würde der Befehl wie folgt aussehen:

Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs

4. Verwenden Sie das Skript nmap. Der Computersicherheitsexperte Kevin Beaumont hat es entwickelt, um gefährdete Server innerhalb Ihrer Umgebung zu finden. Das Skript wurde in Eile erstellt und ist nicht perfekt, kann aber eine geeignete Lösung in Notsituationen sein.

Wenn Sie jedoch bereits unseren Schutz aktiviert haben, müssen Sie sich keine Sorgen über neue Microsoft Exchange-Schwachstellen machen. Falls Sie ihn noch nicht aktiviert haben, ist jetzt die Zeit gekommen, ihn auszuprobieren.

Unser Schutz dient nicht nur dazu, Ihre Server vor Eindringlingen zu schützen. Ihre Infrastruktur, Webseiten und Anwendungen werden auf allen Ebenen zuverlässig gegen Bots und DDoS-Angriffe jeglicher Komplexität geschützt.

Probieren Sie unseren Schutz kostenlos aus oder starten Sie mit einer kostenlosen Beratung.