Microsoft Exchange Sicherheitslücken – das MS Cleaning-Tool beseitigt nicht alle Hintertüren der Angreifer

Autor
Mathias Fuchs
Veröffentlicht
19. März 2021

Am 2. März veröffentlichte Microsoft Updates für Sicherheitslücken zum Exchange-Server. Es gilt die höchste Warnstufe, die Bedrohungslage ist mehr als kritisch. In diesem Blogbeitrag wollen wir Ihnen einen aktuellen Einblick geben, welche kritischen Hintertüren die von Microsoft und anderen Stellen vorgeschlagenen Prüfverfahren nicht erkennen. Die nachfolgend beschriebenen Erkenntnisse und Massnahmen stammen aus über 50 Exchange-Breach Untersuchungen des InfoGuard CSIRT und sind leider real. Handeln Sie JETZT!

In den letzten 2 Wochen überprüfte das InfoGuard CSIRT über 50 potenzielle Exchange Server-Verletzungen bei Kunden, die auf einigen der von Microsoft am 2. März 2021 veröffentlichten Zero Day-Schwachstellen basieren. Die Schwachstellen und wie diese von Angreifern ausgenutzt werden kann, wurde von diversen Seiten ja schon ausführlich beschrieben. Lassen Sie uns über die Fakten aus unseren Untersuchungen sprechen:

  • Von den rund 50 Untersuchungen hatten über 70% irgendwann einmal eine Webshell installiert.
  • In etlichen Fällen erkannte das MSERT-Tool nicht alle Webshells, die von den Angreifern platziert wurden.
  • In 5 Fällen interagierten die Angreifer mit der Webshell und führten dabei interne Aufklärungen durch.
  • In mindestens 4 Fällen löschten die Angreifer bestimmte Protokolldateien und/oder löschten ihre ursprünglich verwendeten Webshells.
  • In 2 Fällen waren die Angreifer in der Lage sich seitlich (lateral) zu bewegen.
  • In einem Fall kompromittierten die Angreifer sogar die gesamte Domäne!

Was bedeuten dies nun für Sie?

  • Den Update einspielen und das Scannen Ihrer Systeme mit dem MSERT-Tool ist wichtig, reicht aber nicht aus, da nicht alle Webshells detektiert werden.
  • Suchen Sie nach Anzeichen für eine versuchte Privilegien-Erweiterung (normalerweise läuft Exchange mit einem lokalen Benutzerkonto).
  • Auch wenn der Exchange-Server zum Zeitpunkt Ihrer Untersuchung sauber war, bedeutet das leider nicht, dass Sie nicht betroffen sind. Der Angreifer könnte sich nämlich seitlich bewegt haben und den ursprünglichen Einstiegspunkt bereinigt haben. Untersuchen Sie also sorgfältig alle Server, die direkt oder indirekt über den Exchange-Server erreicht werden können.
  • Wenn Sie sich nicht sicher sind, ob der Server angegriffen wurde, empfehlen wir, die GovCERT-Massnahmen zu befolgen und den Exchange-Server neu aufsetzen.

Das sollten Sie unbedingt tun!

  1. Beobachten Sie AV-Warnungen sehr genau! Wenn eine Warnung mit einem Namen wie "Cobalt Strike" oder "Powersploit" auftaucht, haben Sie ein ernsthaftes Problem und Ihre Daten werden zu diesem Zeitpunkt möglicherweise abgeschöpft, eine Verschlüsselung könnte unmittelbar bevorstehen.
  2. Kontaktieren Sie uns umgehend, wenn Sie ein verdächtiges Verhalten in Ihrem Netzwerk entdecken. Damit wir gemeinsam weiterführende Massnahmen besprechen und einleiten können.

InfoGuard hilft Ihnen – rund um die Uhr

  • Das InfoGuard CSIRT kann Sie dabei unterstützen, Ihren Exchange-Server eingehend zu überprüfen.
  • Speziell für Ihre Exchange-Server bieten wir einen Monitoring Service für einen Monat an. Damit können wir auf jeden neuen Angriff oder Ausbruchsversuch auf diesen Servern umgehend reagieren, um einen möglichen Schaden zu verhindern.
  • Wir bieten Ihnen auch ein Compromise Assessment an, welches nicht nur Breaches basierend auf dem Exchange Zero Day, sondern in Ihrer gesamten Umgebung aufdecken. Auf diese Weise können wir tief in Ihrem Netzwerk nach Spuren eines Angreifers suchen.

Kontaktieren Sie uns!

Sollten Sie noch Fragen zur Lücke haben, können Sie uns gerne auch auf Social Media kontaktieren!

Artikel teilen