Sehr öffentliche Mailserver

Verwundbare Exchange-Server der öffentlichen Verwaltung

20 Exchange-Server in öffentlicher Hand waren für eine kritische alte Sicherheitslücke anfällig, wie eine Untersuchung von c’t ergab. Kriminelle hätten spielend leicht die Kontrolle über die verwundbaren Systeme übernehmen können. So sind wir vorgegangen und so können Sie Ihren eigenen Server selbst testen.

Von Alexander Königstein

Es gelingt Onlineerpressern immer wieder, die digitale Infrastruktur ganzer Landkreise lahmzulegen und Behörden in die analoge Steinzeit zu schicken, zuletzt erkennbar an den tagelang ausbleibenden Corona-Meldezahlen für den Landkreis Ludwigslust-Parchim etwa in der Corona-Warn-App. Uns hat interessiert, ob die Behörden daraus gelernt haben und wie es allgemein um die IT-Sicherheit von Servern in öffentlicher Hand bestellt ist. Wir haben Anfang November in 59.000 Webservern von Landkreisen, Bundesbehörden und Städten in ganz Deutschland nach Exchange-Webapps gesucht und sie auf eine bekannte kritische Sicherheitslücke getestet.

Unser Testskript filterte daraus 460 öffentlich erreichbare Exchange-Server-Webapps, die am Pfad /owa/ zu erkennen sind und analysierte sie, wonach 20 Server angreifbar waren. Unter den gefundenen Exchange-Servern befinden sich ein Theater, eine Volkshochschule sowie mehrere Stadtverwaltungen und Landkreise. Vier Serverbetreiber haben bis Redaktionsschluss noch keinen Patch dagegen laufen lassen und tauchen deshalb auch nicht in unserer Liste auf. Angreifer hätten in jedem einzelnen Fall leicht die Kontrolle über den verwundbaren Mailserver übernehmen können und schlimmstenfalls sogar über das ganze Netz.

Inzwischen aktualisierte Exchange-Server
Ort	Institution
Amberg	Volkshochschule
Bernsdorf	Stadtverwaltung
Bleckede	Stadtverwaltung
Dachau	Stadtverwaltung
Erkner	Stadtverwaltung
Freiburg	Theater
Heilbad Heiligenstadt	Stadtverwaltung
Klötze	Stadtverwaltung
Merzig-Wadern	Landkreis
Mölln	Stadtverwaltung
Plauen	Stadtverwaltung
Rendsburg	Stadtverwaltung
Sassnitz	Stadtverwaltung
Stadtbergen	Stadtverwaltung
Sulzbach Saar	Stadtverwaltung
Vellmar	Stadtverwaltung

Die Microsoft-Exchange-Server waren über die sogenannte „Proxyshell-Lücke“ angreifbar [1]. Microsoft stellt für dieses Problem schon seit April 2021 Sicherheitsupdates bereit. Anfang August spitzte sich die Lage zu, da die Updates vielerorts noch nicht eingespielt worden waren: Heise Security und das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnten bereits im August vor einer laufenden Angriffswelle, in deren Kontext sich Kriminelle Zugriff auf die noch ungepatchten Server verschafften und die Betreiber mit Ransomware erpressten. Die Gefahr ist also durchaus real. Doch sogar drei Monate nach der eindringlichen Warnung fanden sich immer noch Exchange-Server ohne aktuelle Sicherheitsupdates in der öffentlichen Verwaltung, wie die aktuelle c’t-Untersuchung zeigt.

Genau genommen handelt es sich nicht um eine einzelne Lücke, sondern drei einzelne Sicherheitslecks, die zusammen dazu führen, dass ein Angreifer den Exchange-Server übernehmen kann. Um herauszufinden, ob die Server anfällig sind, haben wir die erste Sicherheitslücke CVE-2021-34473, sprich „Zugriff auf Backend-URLs“ getestet, die uns die Version des Exchange-Servers angezeigt hat. Wir generierten zunächst eine Liste mit den Domains von allen Bundesländern, über 200 Landkreisen, etlichen Bundesbehörden und über 2.000 Städten. Aus dieser Liste filterten wir die aktiven Outlook-Web-Apps (OWA), um nur die relevanten Server zu überprüfen. Bei den OWA-Servern riefen wir anschließend eine Test-URL auf, um herauszufinden, ob die wichtigen Sicherheitsupdates bereits installiert waren und speicherten relevante Metadaten wie URL, Versionsnummer, User und Mailbox. Zu unserer Überraschung waren 20 Server nach wie vor für Proxyshell anfällig.

Bei verwundbaren Exchange-Servern wird eine Statusseite mit Dienstkonto (User) und Mailbox angezeigt.

Eigenen Server testen

Wer selbst einen Exchange-Server betreibt, kann leicht überprüfen, ob dieser verwundbar ist. Es reicht eine GET-Anfrage an die Outlook-Web-App des Mailservers zu schicken, zum Beispiel durch den Aufruf einer URL im Browser:

https://autodiscover.ihredomain.de/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com

Tauschen Sie ihredomain.de durch Ihren Domainnamen aus, belassen Sie aber @foo.com – hier muss eine fremde Domain stehen, damit der Test aussagekräftig ist. Bei einem verwundbaren System spuckt der Exchange-Server eine Seite mit HTTP-Statuscode 200 und dem Titel „Exchange MAPI/HTTP Connectivity Endpoint“ aus. Diese zeigt die laufende Exchange-Version, das Dienstkonto (NT Authority\System, je nach Systemsprache) und den Mailboxnamen an. Diese Seite sollte überhaupt nicht erreichbar sein, denn sie gehört zum Backend von Exchange und ist nur über die Schwachstelle zugänglich. Wir empfehlen sogar, die URL über einen längeren Zeitraum mehrfach abzurufen, weil uns aufgefallen ist, dass auch bei aktuellen Exchange-Servern die Backend-Seite nur zu bestimmten Zeitpunkten zugänglich war.

Ein Angreifer würde die gleiche URL nutzen, allerdings einen POST-Request mit Angriffscode (Exploit) an den Server schicken. Der passende Exploitcode ist seit mindestens August öffentlich und so einfach zu bedienen, dass ein Einbrecher sich nur noch eine Hintertür aussuchen muss, die er auf dem Exchange-Server hochladen möchte. Mittlerweile gibt es auch Skripte, die den Angriff automatisiert ausführen. Damit kann ein Eindringling zu jedem späteren Zeitpunkt beliebige Befehle auf dem Server ausführen. c’t hat die Betreiber selbst informiert oder die Fälle an das BSI gemeldet. Die meisten reagierten schnell auf die Kontaktaufnahme und aktualisierten ihre Server.

Antwort vom ungebetenen Besuch

Ein paar Wochen, nachdem wir den Betreiber eines Exchange-Servers mit offener Sicherheitslücke per E-Mail gewarnt hatten, erhielten wir eine ungewöhnliche Antwort: „Guten Tag! Bitte stellen Sie sicher, dass alle Dokumentationen über den nächsten Link gefunden werden können.“ – der Link führte auf eine Website, die nichts mit der betroffenen Stadtverwaltung oder uns zu tun hatte. Die E-Mail selbst kam nicht von der Stadtverwaltung, sondern wurde über eine gehackte Wordpress-Website versendet, nur im Absendername stand die Stadt. Als vorangegangene Konversation zitierte die E-Mail unsere Warnung zum verwundbaren Exchange-Server. Wie die Stadtverwaltung uns mitteilte, wurde unsere E-Mail bei einem Befall des Mailservers kopiert. Wir können uns vorstellen, durch welche Sicherheitslücke das passiert ist. Man arbeite daran, dass dies in Zukunft nicht mehr vorkommt.

Bereits gehackt, oder nicht?

Wer seine Server nicht zügig abgesichert hat, steht nun vor einem Problem: Wurde der Server bereits gehackt? Es reicht nicht aus, nur in die IIS-Logs zu schauen und nach verdächtigen HTTP-Anfragen Ausschau zu halten. Admins sollten mindestens noch einen Blick in die Verzeichnisse „C:\inetpub\wwwroot\aspnet_client\“ und „C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\“ werfen, denn das sind bekannte Orte, an denen Angreifer ihre Hintertür platzieren.

Aber auch wenn hier keine ungewöhnlichen Dateien zu finden sind, heißt das nicht zwangsläufig, dass der Server verschont wurde: Wenn ein Angreifer mit Systemrechten auf dem Server unterwegs war, könnte und würde er seine Spuren verwischt haben. Im schlechtesten Fall hat er sogar schon weitere Rechner im Netzwerk übernommen.

Bei einer drei Monate alten kritischen Sicherheitslücke, die nicht rechtzeitig geschlossen wurde, muss man mit dem Schlimmsten rechnen. Die Suche nach einem potenziellen Eindringling ist aufwendig, deshalb wäre eine umgehende Wartung von Servern in Zukunft die bessere Strategie. Installieren Sie Sicherheitsupdates zügig, ohne darauf zu warten, bis das BSI vor einer großen Angriffswelle warnt. Dies gilt insbesondere für öffentlich erreichbare Server.

Das Computer-Notfallteam des BSI warnte Ende November auf Twitter erneut vor Mailservern mit kritischen Schwachstellen.

Auch außerhalb der öffentlichen Verwaltung finden sich nach wie vor etliche verwundbare Exchange-Server. Insgesamt ist die Lage höchst kritisch: Das BSI warnte über Twitter am 30. November, dass circa 12.000 Server in Deutschland von mindestens einer kritischen Lücke betroffen seien – das entspreche 30 Prozent der Server, die dem BSI bekannt sind. Informationen über den Patch-Stand bekommt das BSI von der Rechner-Suchmaschine Shodan. Dass die Wartung von Exchange manchmal vergessen wird, ist offenbar kein exklusives Problem der öffentlichen Verwaltung.

Kein Happy End

Unsere Recherche zeigt, dass die öffentliche Hand in Teilen nicht hinterherkommt, kritische Lücken zügig zu schließen. Selbst wenn gepatcht wurde, sieht die Situation der Behörden-IT oft nicht rosig aus. Es häufen sich die Ransomware-Fälle in öffentlichen Einrichtungen: Besonders schlimm traf es im Sommer den Landkreis Anhalt-Bitterfeld, der sogar den Katastrophenfall ausrufen musste, um Unterstützung der Bundeswehr zu bekommen. Wochenlang musste die IT-Infrastruktur neu aufgebaut werden. Die Tür zur Kreisverwaltung blieb verschlossen. Die Bürger konnten dort Behördengänge nicht mehr erledigen und die Verwaltung konnte nicht mal Sozialhilfe anweisen. Solche Angriffe finden vermehrt per Trojaner in einer Mail statt. Bei den ungepatchten Exchange-Servern ist nicht mal ein unbedachter Klick auf einen Mail-Anhang nötig: Das Scheunentor steht dort sperrangelweit offen. (ako@ct.de)