Die Exchange-Sicherheitslücken im Detail

Am 9. März 2021 rief das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum ersten Mal seit 2007 hierzulande die höchste Warnstufe aus: „4/rot“. Die „IT-Bedrohungslage“ sei „extrem kritisch“, der Regelbetrieb könne nicht aufrechterhalten werden, schrieb die Behörde in einem Bericht.

Was war passiert? In der Nacht zum 3. März hatte Microsoft ungeplant Sicherheitsupdates für vier als kritisch eingestufte Sicherheitslücken in seinem Mailserver Exchange veröffentlicht (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Eine Kombination der vier Lücken hat fatale Folgen: So können Angreifer nicht nur Schadcode mit Admin-Rechten ausführen und auf Daten des Servers wie E-Mails zugreifen, sondern auch eine Backdoor für spätere Zugriffe platzieren. Genau das passiert gerade weltweit in groß angelegten Angriffswellen.

Microsoft vermutet die chinesische staatsnahe Hackergruppe Hafnium hinter den ersten Attacken. Gefährdet sind Exchange-Server der Versionen 2010 bis einschließlich 2019, die über das Internet zugänglich sind. Aufgrund der Dringlichkeit hat sogar das nicht mehr im Support befindliche Exchange 2010 Sicherheitsupdates bekommen. Das legt nahe, dass die Lücken schon seit mehr als zehn Jahren existieren. Der Cloud-Dienst Exchange Online ist Microsoft zufolge nicht betroffen.

Exchange-Server eiskalt erwischt

Gegen die Angriffswelle waren zahlreiche Firmen und Behörden völlig schutzlos. Laut BSI waren Anfang März „zehntausende Exchange-Server“ alleine in der Bundesrepublik verwundbar und „mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert“ (siehe Infografik). Das Patchen geht langsam voran, aber immer weniger Server sind gefährdet, weswegen das BSI am 17. März die Bedrohungslage auf „3/orange“ herunterstufte. Auch sechs ungenannte Bundesbehörden seien attackiert worden, vier davon erfolgreich. Zu den prominentesten Opfern weltweit gehören beispielsweise die europäische Bankenaufsichtsbehörde EBA und das norwegische Parlament. In den USA, wo Hafnium zu Beginn besonders aggressiv vorging, sind bis dato mehr als 30.000 Server der Hackergruppe zum Opfer gefallen.

Diversen Sicherheitsfirmen zufolge scannten die Angreifer großflächig nach verwundbaren Servern. Viele Admins hatten keine Chance, schnell genug zu reagieren und die Sicherheitsupdates zu installieren. Selbst wenn das zügig vonstattenging, war eine Infektion nicht auszuschließen.

Erfolgreiche Attacken sind deshalb so gefährlich, weil die Angreifer oft eine Hintertür in Form einer Webshell auf Servern hinterlassen. Darüber können sie zu einem späteren Zeitpunkt aus der Ferne erneut auf den Server zugreifen. Außerdem bekommen sie Einblicke in firmeninterne Kalender sowie den E-Mail-­Verkehr und haben in einigen Fällen sogar Zugriff auf das Active Directory. Dieses ist bei manchen Servern mit sehr hohen Rechten versehen, sodass potenzielle Angreifer laut BSI möglicherweise die gesamte Domäne übernehmen können.

Hinzu kommt, dass die Angriffsvorgehensweise nebst Exploit-Code inzwischen publik ist, sodass neben den wahrscheinlich staatsnahen Spionen von ­Hafnium weitere Hacker-Gruppen die Schwachstelle ausnutzen. Laut einem Bericht des AV-Software-Herstellers Eset haben es mittlerweile mehr als zehn weitere „Advanced-Persistent-Threat-Gruppen“ (APT) auf Exchange-Server abgesehen, darunter Tick, LuckyMouse, Calypso, Winnti und Websiic, die ebenfalls mit China in Verbindung gebracht werden. Mittlerweile sind aber auch „normale“ Internet-Kriminelle auf den Zug aufgesprungen, um zum Beispiel mit dem Verschlüsselungstrojaner DearCry Lösegeld zu erpressen. Manche Angreifer nutzten die Lücke, um Kryptomining-Schadsoftware zu installieren. In Deutschland sei die Schadsoftware DLTMiner „auf mindestens 600 Exchange-Server“ gefunden worden, meldete das BSI Mitte März.

Was tun?

Admins sollten ihre Exchange-Server umgehend aktualisieren, um Attacken zu verhindern. Kompromittierte Server kann man mit einem Prüf-Skript von Microsoft ausfindig machen. Außerdem gibt es ein Tool, mit dem Admins Server mit wenigen Klicks vor der Initial-Attacke schützen können. Zusätzlich stellt Microsoft mehrere Support-Dokumente bereit (siehe ct.de/y81c).

Aufgrund der vielfältigen Auswirkungen der Attacke gibt es jedoch kein Tool, das Server ganzheitlich heilen kann. Deswegen rät das BSI bei einer Infektion zum Löschen der Server und einer sauberen Neuinstallation.

Hat Microsoft gepennt?

Die Historie dieser kritischen Sicherheitslücken wirft vor allem die Frage auf, ob Microsoft nicht schneller hätte reagieren müssen: Bereits am 10. Dezember 2020 stießen Sicherheitsforscher des Unternehmens Devcore auf die erste der vier Schwachstellen (CVE-2021-26855). Am 5. Januar setzten sie Microsoft eigenen Angaben zufolge in Kenntnis. Sicherheitsupdates ließen aber auf sich warten. Laut Devcore erklärte Microsoft Anfang Februar, dass man noch Aspekte untersuchen würde.

In dieser Unterhaltung kündigte Microsoft am 18. Februar an, die Lücken erst im März am regulären Patchday (9. März) zu schließen. Allerdings hatten die ersten vereinzelten Angriffe bereits im Januar begonnen. Am 27. Januar wiesen Sicherheitsforscher der dänischen Firma Dubex eigenen Angaben zufolge den Konzern darauf hin. Auch sie berichten von einer eher trägen Kommunikation. So habe Microsoft ihnen gegenüber die Zero-Day-Lücken erst zur Veröffentlichung der Patches bestätigt.

Waren es bis dahin wohl nur gezielte Angriffe auf ausgewählte Exchange-Server, begannen Ende Februar weltweit Massenscans. Verwundbare Server wurden automatisiert attackiert und in vielen Fällen mit einer Backdoor versehen.

Auch der Exchange-Server von Heise Medien ist in der Nacht zum 3. März gescannt worden. Glücklicherweise hatte einer der Admins lange vorher Filter für einen davor geschalteten HAProxy geschrieben. Dieser Filter unterband den Zugriff und gab den Admins am nächsten Tag genügend Zeit, die Patches zu installieren.

Ein weiteres Merkmal in der Exchange-Katas­trophe wirft einen Schatten auf Microsoft: Laut Wall Street Journal wurde für die Massenangriffe Code verwendet, der stark Exploit-Code ähnelt, den Microsoft im Rahmen seines Microsoft Active Protections Program (Mapp) an beispielsweise Hersteller von Antiviren-Software weitergeleitet habe. Das wirft die Frage auf, ob dieser Code von einem der Partner geleakt wurde. Dem Wall Street Journal zufolge untersucht Microsoft das.

Fazit

Nach Meldung der ersten Sicherheitslücke hat Microsoft ganze zwei Monate benötigt, um die Sicherheitsupdates bereitzustellen. Der Konzern hat so hunderttausende Exchange-Server über einen langen Zeitraum gefährdet, anstatt zügig zu reagieren.

Die Frage von c’t, warum man so lange benötigt hat, wollte Microsoft nicht kommentieren. Gegenüber der Frankfurter Allgemeinen Zeitung verteidigte sich Tom Burt, Corporate Vice President Customer Security & Trust, mit sehr allgemeinen Aussagen, statt konkrete Erklärungen zu liefern: „Es ist notwendig, so schnell wie möglich ein Patch zu haben, aber die Schwachstelle nicht publik zu machen, bis es so weit ist. Und es sei in manchen Fällen „ein hartes Entwicklungsprojekt, die Schwachstellen zu verstehen und zu sehen, wie man sie blockieren kann, ohne die Funktionalität von Systemen einzuschränken.

Jedenfalls dürften die Lücken jenen bei Microsoft in die Hände spielen, die sich schon länger dafür einsetzen, Exchange durch Cloud-Dienste abzulösen, die ja von diesen Schwachstellen nicht betroffen sind. Dementsprechend nutzte Burt die Plattform in der FAZ dafür, die Werbetrommel für die Cloud von Microsoft als sicheres Medium zu rühren. (wid@ct.de)

Tools und weiterführende Artikel: ct.de/y81c