Inhaltsverzeichnis
„Die IT-Bedrohungslage ist äußerst kritisch. Ausfall vieler Dienste, Regelbetrieb kann nicht aufrechterhalten werden“ – so lautet die aktuelle Lageeinschätzung des BSI. Ursache sind die Sicherheitslücken in Microsoft Exchange, für die der Hersteller in der Nacht zum Mittwoch, 3. März, Out-of-Band-Updates veröffentlicht hat.
Das beim BSI angesiedelte CERT-Bund sieht derzeit mindestens 26.000 verwundbare Exchange-Server in Deutschland, die direkt aus dem Internet erreichbar sind. Bei diesen „sollte davon ausgegangen werden, dass sie kompromittiert sind“, erklärt das BSI in seinem aktuellen Sicherheitshinweis zu Exchange-Schwachstellen. Hinzu kommen mindestens ebenso viele Server, bei denen sich nicht genau sagen lässt, ob sie die schützenden Updates bereits erhalten haben.
Nach Angaben des BSI sind auch sechs Bundesbehörden betroffen. „In vier Fällen ist eine mögliche Kompromittierung erfolgt“, heißt es in einer Sicherheitswarnung. Um welche Einrichtungen es sich handelt, wollte das BSI nicht öffentlich sagen. Es habe den betroffenen Behörden Hilfe angeboten und sei in Einzelfällen bereits aktiv.
Es ist wichtig, dass Admins ihre Systeme nicht nur aktualisieren, sondern auch überprüfen, ob sie möglicherweise bereits gekapert wurden. Denn die Updates schließen zwar die Lücken, beseitigen aber nicht eine bereits erfolgte Infektion. Wenn es den derzeit sehr aktiven Angreifern bereits gelungen ist, eine Backdoor auf dem Server oder in den von dort aus erreichbaren Systemen zu installieren, kann dies Monate später zu einer groß angelegten Erpressung genutzt werden.
So geschehen bei der Uniklinik Düsseldorf, wo Cyberkriminelle das Zeitfenster zwischen der Entdeckung der Schwachstelle und der Installation des Schutz-Updates nutzten, um eine Backdoor zu installieren. Monate später kehrten die Angreifer über diese zurück, verschlüsselten massive Datenmengen und erpressten die Universität. Die Aktion legte das Universitätsklinikum für mehrere Monate lahm.
Jetzt Abhilfe schaffen!
Wer einen Exchange-Server betreibt, muss also mit allerhöchster Priorität zwei Dinge sicherstellen:
- dass der Server nicht bereits kompromittiert wurde
- dass er mit allen aktuellen Updates versorgt ist
Wenn es Anzeichen für einen Einbruch gibt, sollte unbedingt sorgfältig geprüft werden, wie weit die Angreifer bereits in das Netzwerk eindringen konnten. In diesem Zusammenhang warnt das CERT-Bund: „In vielen Infrastrukturen haben Exchange-Server standardmäßig (teilweise ungerechtfertigt) sehr hohe Rechte im Active Directory. Es ist denkbar, dass umfangreichere Angriffe mit den Rechten eines übernommenen Exchange-Servers mit wenig Aufwand auch die gesamte Domäne kompromittieren können.“
Ausnahmsweise direkte Patches
All dies ist nicht trivial. Selbst das Einspielen der Patches erfordert oft noch vorbereitende Updates, da Microsoft die Patches in der Regel nur für die jeweiligen Update-Stände (kumulative Updates, CUs) bereitstellt, die noch unterstützt werden. Dies sind derzeit CU 7/8 für Exchange 2019, CU 18/19 für Exchange 2016 und CU 23 für Exchange 2013. Ausnahmsweise stellt Microsoft auch Patches für das eigentlich bereits abgekündigte Exchange 2010 zur Verfügung, sofern es sich auf 2010 SP 3 befindet.
Aufgrund der Dringlichkeit der Situation hat Microsoft nun aber auch Sicherheitspatches erstellt, die installiert werden können, wenn die aktuellen kumulativen Updates aus irgendeinem Grund nicht eingespielt werden können. Details dazu finden Sie hier: March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server