Die IT-Welt hält den Atem an: Weltweite Angriffe auf Exchange-Server

Bewertung: 5 / 5

Stern aktivStern aktivStern aktivStern aktivStern aktiv
 

(Biedenkopf, 15.03.2021) Wenn das Bundesamt für Sicherheit in der Informationstechnik "Alarmstufe Rot" ausruft und sogar die Besitzer betroffenener Exchange-Server per Post anschreibt, dann besteht wirklich dringender Handlungsbedarf

Wieso ist diese Situation so hochkritisch?

Unser CEO Feyzi Erdar - seit 1983 in der IT tätig und ein Top-IT-Sicherheitsexperte bundesweit - gab uns folgendes Statement (welches wir an dieser Stelle ungeschönt wiedergeben): "Als ich mir über das Ausmaß dieser Sicherheitslücke bewusst geworden bin, ist mir speiübel geworden! Sowas nimmt mich als IT´ler voll mit. Da wir einige Kunden mit betroffenen Exchange-Servern haben, sind wir seit Tagen im Dauereinsatz, um die betroffenen Server absichern, diese auf erfolgreiche Eindringversuche durch Cyberkriminelle zu untersuchen, diese dann händisch auszuwerten, dann wiederum händisch nach so genannten Webshells zu suchen ... usw. usf."

Zurück zur eigentlichen Sicherheitslücke: Diese ermöglicht es, über die Web-Oberfläche des Exchange-Servers ("Outlook Web App") das Anmeldefenster zu umgehen und dann Befehle auf dem Server auszuführen, welche dann dazu führen, eMails abzugreifen (was dann eine meldepflichtige Datenschutzverletzung nach sich zieht) und schlimmstenfalls sich so weit durch das Unternehmensnetzwerk ("Active Directory") durchzuhangeln, bis man das oberste Administratorkonto gekapert hat und dadurch man das gesamte Netzwerk unter seine Kontrolle bringt.

Was hat Microsoft unternommen?

Microsoft hat mehrere Sicherheitspatches zur Schließung der Lücke am 03. März veröffentlicht. Diese verhindern die Möglichkeit das Anmeldefenster von "Outlook Web App" zu umgehen. Das Problem ist damit aber noch längst nicht gelöst: Als die Cyberkriminellen Wind davon bekommen haben, dass Microsoft seine Sicherheitspatches frühzeitig (also vor dem geplanten "Patch Day") veröffentlicht, wurden automatisierte Angriffe auf alle verwundbaren Server gestartet. "Verwundbar" bedeutet in diesem Fall, dass der betroffene Exchange-Server nicht das aktuelle kumulative Update-Paket installiert hat. Doch selbst bei aktuellen Servern besteht immer noch die Sicherheitslücke, die erst durch die genannten Update-Patches geschlossen wird.

 

Warum werden so viele Exchange-Server nicht aktuell gehalten?

Hierzu wiederum unser Chef: "Ganz einfach: Die Kohle! Die Installation von kumulativen Update-Paketen kann nur durch erfahrene Administratoren durchgeführt werden, weil diese sehr viele Nebenüberrauschungen mit sich bringen. Beispielsweise war nach einer fehlgeschlagenen Installation eines Updatepakets der gesamte Server zerschossen und nicht mehr verwendbar. In vielen anderen Fällen 'meckert' die Installationsroutine einen durchzuführenden Neustart an, obwohl der Server mehrmals neugestartet wurde. IT-Laien verzweifeln an solchen Herausforderungen.

Daher dauert die erfolgreiche Installation eines kumulativen Updatepaket um Optimalfall ca. 3,5 Stunden und schlimmstenfalls bis zu 11 Stunden. Jetzt kommt hinzu, dass Microsoft ca. alle 3 Monate ein kumulatives Updatepaket herausbringt. Dazu sind viele Unternehmen nicht bereit, zu zahlen."

 

Was haben wir bei unseren Kunden unternommen?

Neben der Voraussetzung, dass der betroffene Exchange-Server auf dem aktuellen Stand - samt Sicherheitspatch - ist, müssen vor dem Schließen der Sicheitslücke erfolgte Angriffe entdeckt, analysiert und alle erforderlichen Log-Dateien mit denen der Firewalls abgeglichen werden. Dann folgt das "große händische Suchen" von Webshells, die bei erfolgreichen Angriffsversuchen von den Hackern auf dem Server abgelegt werden konnten. Diese werden dann ebenso händisch entfernt.

Neben der geschlossen Sicherheitslücke auf dem Server selbst wurden auf den Kunden-Firewalls das "Intrusion Detection System" (IDS) noch weiter verschärft, sodass verdächtige IP-Adressen sofort blockiert werden und gar nicht mehr auf den Exchange-Server zugreifen können. Und auch von innen haben wir die Tür zugemacht: Sollten noch undeckte Schadprogramme zu den Hackern Kontakt aufnehmen wollen, müssen dies sich an der Firewall über ein Zertifikat zwangweise authentifizieren. Dadurch werden verschlüsselte Übertragungen aufgebrochen und können auf schädliche Inhalte überprüft werden. Beim "normalen" Surfen durch die Benutzer*innen werden dann die Übertragungen wieder verschlüsselt und ins das Internet gesendet. Diese Technologie nennt sich "SSL Interception" und sollte bei jeder guten Firewall verfügbar sein.

 

Können Sie uns als Neukunde mit der forensischen Untersuchung beauftragen?

Selbstverständlich! Wenden sie sich bei Zweifeln, ob Ihr Exchange Server frei von Schadcodebefall ist, per eMail an: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!.

 

 

Marktplatz 20
D-35216 Biedenkopf

itc@erdar.de
+49 (0)6461 75875-0
+49 (0)6461 75875-298
   
Geschäftszeiten:
 Mo - Fr  08.00 - 13.00 Uhr
   14.00 - 16.30 Uhr
   
Hotline für Vertragskunden
+49 6461 75875-200
Mo - Fr  08.00 - 17.00 Uhr

Derzeit Online

Aktuell sind 73 Gäste und keine Mitglieder online

© 2020 >> by e Group . All Rights Reserved Designed by ITC

Search