Höchste Warnstufe zur IT-Sicherheit ausgelöst, Sicherheitslücke gefährdet Exchange Sicherheit.

Fokus Exchange Sicherheit – Das BSI ruft wegen des Exchange Server Exploits die Alarmstufe rot aus.

Rotes Rundumlicht Alarm - Sinnbild für die Exchange Sicherheit im Rahmen des Vorfalls

Das BSI hat die IT-Bedrohungsstufe 4 (rot) ausgelöst

 

  • Artikel mehrfach upgedated und erweitert 18.03.21   21:20        Alarm auf Stufe Orange herabgestuft (Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs.)


Am heutigen Dienstag 16.03.2021 sind immer noch über 10.000 Exchange Server in Deutschland nicht gepatcht worden. Es gibt inzwischen fertige Exploits und Anleitungen zur Anwendung. Damit ist es hochgradig wahrscheinlich, dass sich auf vielen der o.g. Server bereits Zugänge und Schadcode befinden. Wegen des einfachen und umfassenden Zugangs zu den Systemen sind präzise und hochgradig schädliche Angriffe zu befürchten. Die Angreifer könnten z.B. die Datensicherungen der befallenen Systeme gezielt außer Kraft setzen oder ggf. ebenfalls mit einer Ransomware verschlüsseln.

Wir raten dringend dazu, alle Exchange Server der Releases 2010, 2013, 2016 und 2019 mit den dafür zur Verfügung gestellten Skripten zu testen und die Patches einzuspielen. Bitte nutzen Sie auch das von Microsoft aktualisierte Exchange On-premises Mitigation Tool (EOMT) das am gestrigen Montag 15.03.2021 aktualisiert veröffentlicht wurde.

 

Weltweit sind laut des Shodan-Vulnerability-Test rund 266.000 Exchange-Server von der Sicherheitslücke betroffen. Alarmstufe Rot, in der Klassifizierung des BSI bedeutet das: „Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrecht erhalten werden.“
Update vom 18.03.21: Die Warnstufe wurde auf Orange geändert (Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs.)
In der Nacht vom 2. auf 3. März hatte Microsoft die sogenannten Out-of-Bands Updates zu den Lücken in der Exchange Sicherheit veröffentlicht, danach waren die Ermittlungen zu dem Vorfall ins Rollen gekommen.

Das BSI hat die Einschätzung der Sicherheitslage inzwischen mehrfach korrigiert und heute Vormittag schließlich die höchste Warnstufe ausgelöst. In Deutschland sind derzeit mindestens 26.000 Exchange Server verwundbar, wobei insgesamt über 57.000 Server betroffen sind. Von vielen der betroffenen Servern kann jedoch zur Zeit kein verlässlicher Status ermittelt werden.

Da die Server des BSI derzeit stark frequentiert werden, haben wir Ihnen hier die aktuelle Einschätzung des BSI zur Lücke in der Exchange Sicherheit als Download (Update Ver. 1.10) zur Verfügung gestellt.

Es ist ausgesprochen wichtig, die betroffenen Server nicht nur mit den von Microsoft zur Verfügung gestellten Patches auszustatten, sondern auch die Art und den Umfang eines wahrscheinlich schon erfolgten Angriffs zu ermitteln. Anhand entsprechender Skripte kann die Infektion auf dem betroffenen Server nachgewiesen werden. Bei unklarer Lage ist es u.E. empfehlenswert, den Server komplett neu aufzusetzen und die Zugriffspasswörter zu ändern.
Nach Sicherstellung der Betriebsfähigkeit sollte unbedingt geprüft werden, ob und welche Daten ggf. abgeflossen sind.

Der IT-Suchdienstleister shodan.io hat inzwischen sein Scanergebnis zur Gefährdung der Exchange Sicherheit über twitter veröffentlicht.

Demnach sind in Deutschland aktuell 57.702 Server von dem Problem (Microsoft Exchange Vulnerability) betroffen. In den USA sind es derzeit 66.522 Server, auf dem dritten Platz folgt Großbritannien mit 15.712 und die Niederlande mit 10.986 betroffenen Systemen. Weltweit sind 266.629 Server betroffen.
Link zum Ergebnis

Die Europäische Bankenaufsichtsbehörde EBA ist das erste bekannte Opfer des Angriffs.

Ebenfalls heute wurde bekannt, das die EBA ein Opfer der Sicherheitslücke in der Exchange Sicherheit geworden ist. Aktuell wird noch ermittelt, auf welche Daten möglicherweise zugegriffen wurde, sicherheitshalber wurde zunächst alle E-Mail-Systeme vom Netz genommen. Microsoft schreibt den Angriff mit hoher Wahrscheinlichkeit einer staatsnahen chinesischen Hackergruppe zu. Der Cyberangriff wird als APT-Angriff eingestuft.

Lücke in der Exchange Sicherheit – das sind die einzelnen Schwachstellen:

CVE-2021-26855  – ermöglicht die Authentisierung am Exchange Server per HTTP-Request

CVE-2021-26857 – ermöglich die Ausführung beliebigen Programmcodes als „SYSTEM“, benötigt Admin-Rechte

CVE-2021-26858 – nach Authentisierung über 26855 können beliebige Dateien auf den Server geschrieben werden
CVE-2021-27065 – ähnlich 26858

Microsoft Exchange on Premise Mitigation Tool (EOMT)

Auszug aus dem Empfehlungen von Microsoft – nach Einspielen des Patches

Nach der erfolgreichen Aktualisierung aller Server empfehlen wir nachdrücklich, nach sogenannten Indicators of Compromise (IOCs) zu suchen, um auszuschließen, dass die Systeme kompromittiert worden sind. In diesem Artikel haben wir entsprechende Informationen zusammengefasst, die SOCs und Security-Verantwortlichen dabei helfen sollen, proaktiv nach verdächtigen Aktivitäten in ihrer Umgebung zu suchen.
Dort finden Sie auch die Indicators of Compromise (IOCs), Erkennungsrichtlinien und erweiterte Suchanfragen, mit denen Sie diese Aktivität mithilfe von Exchange-Serverprotokollen, Azure Sentinel, Microsoft Defender für Endpoint und Microsoft 365 Defender untersuchen können. Bitte führen Sie alle dort genannten Schritte aus. Weitere Informationen und Handlungsempfehlungen sind in dem Artikel verlinkt. (Quelle Microsoft)

 

Weitere Veröffentlichungen:

Spiegel Online vom 09.03.2021

FAZ Titelthema vom 09.03.2021

Handelsblatt vom 09.03.2021

Vorgangsbeschreibung des BSI nach einem APT-Angriff

Warum in der zweiten Angriffswelle Nicht-staatliche-Akteure auf Profit abzielen (FAZ vom 15.03.2021)

Nach dem Exchange Hack kommen die Krypto-Miner (Heise Security vom 17.03.2021)

 

Dieser Artikel wird entsprechend neuer Erkenntnisse ständig upgedated.

Wir hatten bereits am 03.März 2021 auf unserer facebook-Seite über den Vorfall informiert. Folgen Sie uns auf facebook um regelmäßige Updates zur IT-Sicherheit zu erhalten.