Offensive Services

Exchange-Lücke: Angriffe auf Zehntausende deutsche Mail-Server

Aktualisiert am

In diesem Blog finden sich selten Artikel über eine spezielle Sicherheitslücke, aber aufgrund der aktuellen und akuten Angriffswelle auf eine Microsoft-Exchange-Lücke wollen wir allen Lesern helfen, Ihr Unternehmen vor diesen zu schützen. Daher erklären wir in diesem Artikel, um was für eine Sicherheitslücke es sich handelt und was gegen diese getan werden kann.

Exchange – Die zentrale eines Windows Netzwerks

Die Exchange-Lücke ist gerade deshalb so kritisch, weil diese sich in einer Komponente jeder Windows Infrastruktur befindet, welche durch Ihre Funktion bedingt exponiert ins Internet erreichbar ist. Ein Exchange Server ist ein zentraler Teil jedes Windows Netzwerks. Dieser dient zur Verwaltung von E-Mails, Terminen, Kalendern und Kontakten. Da dieser Server auch die E-Mails von den Mitarbeitern eines Unternehmens versendet und empfängt, muss dieser Server auch über das Internet erreichbar sein und das macht diesen zu einem leichten Ziel für Angreifer.

Angriff auf deutsche Unternehmen durch Exchange-Lücke

Am letzten Mittwoch hat Microsoft außerhalb der Reihe ein Sicherheitsupdate veröffentlicht. Dies passiert eigentlich sehr selten, da Microsoft Patches und Updates immer bündelt und am zweiten Dienstag eines Monats veröffentlicht, dem so genannten Patch Tuesday. Dennoch entschied Microsoft sich dazu, am letzten Mittwoch ein Update für bestehende Exchange-Lücken zu veröffentlichen, da diese bereits aktiv ausgenutzt werden.

Insgesamt geht es bei dieser Exchange-Lücke um drei einzelne Sicherheitslücken, welche verkettet werden können, um so die Exchange Software zu übernehmen. Angreifer erhalten so Einblick in die E-Mails, Kontakte und Termine aller Mitarbeiter eines Unternehmens. Das Ganze stuft Microsoft als “kritisch” ein.

Die Sicherheitslücke ist aber nicht in jeder Konfiguration ausnutzbar. So wird für die erfolgreiche Exploitation der Dienst auf dem TCP-Port 443 benötigt. Wenn dieser also durch eine Firewall geschützt ist, sollte ein Angriff erschwert werden.

Testen auf die Exchange-Lücke

Laut dem BSI sind alleine in Deutschland mehr als zehntausend Systeme von dieser Schwachstelle betroffen. Das Problem dabei ist das der größte Teil dieser Systeme zu Unternehmen gehören und somit als sehr kritisch angesehen werden können. Damit Administratoren sicherstellen können, ob Ihre Systeme von dieser Schwachstelle betroffen sind, hat Microsoft ein Powershellskript veröffentlicht, welche nach diesen Schwachstellen im System sucht.

Das Skript kann kostenlos aus dem Github-Repository von Microsoft heruntergeladen werden. Einmal heruntergeladen kann es auf dem Exchange Server einfach mit dem folgenden Befehl ausgeführt werden.

.Test-ProxyLogon.ps1

Wenn der Server anfällig für diese Schwachstellen ist, sollte zeitnah gehandelt werden und im besten Fall das System geupdatet werden.

Updates, Updates und Updates

Sofern Ihre Systeme von dieser Exchange-Lücke betroffen sind, sollten Sie so schnell wie möglich die Updates für diese einspielen. Sollte dies nicht möglich sein, sollten Sie sicherstellen, das von außen kein Zugriff auf die Web-Ports TCP-Port 80 und TCP-Port 443, des Exchanges möglich ist. Dies können Sie entweder über die Deaktivierung des Outlook Web Access oder durch eine entsprechende Firewall-Regel tun.

Die beste Lösung bleibt aber immer noch das Update.

Foto des Autors

Vincent Reckendrees

Hallo, ich bin Vincent Reckendrees und leite das Team Offensive Services bei der AWARE7 GmbH. In meinem Bachelor und Master Studium habe ich mich auf IT-Sicherheit spezialisiert und BSI zertifizierter IS-Penetrationstester. Meine Leidenschaft gilt Reverse Engineering, Hardware- und Web-Sicherheit. Als Experte für Penetrationstests finde ich Schwachstellen in Systemen und Netzwerken und nutze sie, um realistische Cyberangriffe zu simulieren und Sicherheitsmaßnahmen zu verbessern. Durch Reverse Engineering entdecke ich Fehler und Verbesserungsmöglichkeiten in Software und Hardware. Meine Fähigkeiten in Hardware- und Web-Sicherheit ermöglichen es mir, physische Geräte und Online-Plattformen vor einer Vielzahl von Cyberbedrohungen zu schützen und ihre Integrität und Zuverlässigkeit zu gewährleisten.