In diesem Blog finden sich selten Artikel über eine spezielle Sicherheitslücke, aber aufgrund der aktuellen und akuten Angriffswelle auf eine Microsoft-Exchange-Lücke wollen wir allen Lesern helfen, Ihr Unternehmen vor diesen zu schützen. Daher erklären wir in diesem Artikel, um was für eine Sicherheitslücke es sich handelt und was gegen diese getan werden kann.
Exchange – Die zentrale eines Windows Netzwerks
Die Exchange-Lücke ist gerade deshalb so kritisch, weil diese sich in einer Komponente jeder Windows Infrastruktur befindet, welche durch Ihre Funktion bedingt exponiert ins Internet erreichbar ist. Ein Exchange Server ist ein zentraler Teil jedes Windows Netzwerks. Dieser dient zur Verwaltung von E-Mails, Terminen, Kalendern und Kontakten. Da dieser Server auch die E-Mails von den Mitarbeitern eines Unternehmens versendet und empfängt, muss dieser Server auch über das Internet erreichbar sein und das macht diesen zu einem leichten Ziel für Angreifer.
Angriff auf deutsche Unternehmen durch Exchange-Lücke
Am letzten Mittwoch hat Microsoft außerhalb der Reihe ein Sicherheitsupdate veröffentlicht. Dies passiert eigentlich sehr selten, da Microsoft Patches und Updates immer bündelt und am zweiten Dienstag eines Monats veröffentlicht, dem so genannten Patch Tuesday. Dennoch entschied Microsoft sich dazu, am letzten Mittwoch ein Update für bestehende Exchange-Lücken zu veröffentlichen, da diese bereits aktiv ausgenutzt werden.
Insgesamt geht es bei dieser Exchange-Lücke um drei einzelne Sicherheitslücken, welche verkettet werden können, um so die Exchange Software zu übernehmen. Angreifer erhalten so Einblick in die E-Mails, Kontakte und Termine aller Mitarbeiter eines Unternehmens. Das Ganze stuft Microsoft als “kritisch” ein.
Die Sicherheitslücke ist aber nicht in jeder Konfiguration ausnutzbar. So wird für die erfolgreiche Exploitation der Dienst auf dem TCP-Port 443 benötigt. Wenn dieser also durch eine Firewall geschützt ist, sollte ein Angriff erschwert werden.
Testen auf die Exchange-Lücke
Laut dem BSI sind alleine in Deutschland mehr als zehntausend Systeme von dieser Schwachstelle betroffen. Das Problem dabei ist das der größte Teil dieser Systeme zu Unternehmen gehören und somit als sehr kritisch angesehen werden können. Damit Administratoren sicherstellen können, ob Ihre Systeme von dieser Schwachstelle betroffen sind, hat Microsoft ein Powershellskript veröffentlicht, welche nach diesen Schwachstellen im System sucht.
Das Skript kann kostenlos aus dem Github-Repository von Microsoft heruntergeladen werden. Einmal heruntergeladen kann es auf dem Exchange Server einfach mit dem folgenden Befehl ausgeführt werden.
.Test-ProxyLogon.ps1
Wenn der Server anfällig für diese Schwachstellen ist, sollte zeitnah gehandelt werden und im besten Fall das System geupdatet werden.
Updates, Updates und Updates
Sofern Ihre Systeme von dieser Exchange-Lücke betroffen sind, sollten Sie so schnell wie möglich die Updates für diese einspielen. Sollte dies nicht möglich sein, sollten Sie sicherstellen, das von außen kein Zugriff auf die Web-Ports TCP-Port 80 und TCP-Port 443, des Exchanges möglich ist. Dies können Sie entweder über die Deaktivierung des Outlook Web Access oder durch eine entsprechende Firewall-Regel tun.
Die beste Lösung bleibt aber immer noch das Update.