In diesem Artikel informiere ich über die aktuell hochkritischen Sicherheitslücken in Microsoft-Exchange-Systemen und welche Maßnahmen sich betroffenen Unternehmen bieten. Ich werde vor allem darauf eingehen, wie einfach sich diese Maßnahmen mit Server-Eye umsetzen lassen.

In jüngerer Zeit wurden kritische Schwachstellen in verschiedenen Versionen der weit eingesetzten Groupware Microsoft Exchange bekannt, die es im schlimmsten Falle Angreifern erlauben, die Systeme zu übernehmen, um in mit diesen verbundene Netzwerke einzudringen und dort weiteren Schaden anzurichten.

Artikeln der Fachpresse zufolge sind aktuell zehntausende Rechner mit der Groupware-Software allein in Deutschland auf Basis der Lücken über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert.

Auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt vor den Schwachstellen und mahnt, diese schnellstmöglich zu beheben.

Sicherheitslücken bei kleinen und mittleren Unternehmen

Bei Servern, die bis jetzt nicht gepatcht wurden, geht das BSI davon aus, dass für diese eine große Gefahr besteht, bereits von den kriminellen Hackern übernommen worden zu sein und von diesen kontrolliert zu werden. Aufgrund der öffentlichen Verfügbarkeit von Exploit-Codes zum einfachen Ausnutzen der Schwachstellen sowie von „starken weltweiten Scan-Aktivitäten“ besteht momentan ein sehr hohes Angriffsrisiko. Aus diesem Grund sollten anfällige Exchange-Systeme dringend auf Auffälligkeiten geprüft werden.

Prüfung der eigenen Systeme

Microsoft bietet derzeit ein PowerShell-Skript und eine ausführbare Datei an, die zur Prüfung verwendet werden können.

Das PowerShell-Skript prüft in den entsprechenden Logs, ob es bereits Angriffe auf den entsprechenden Exchange-Servern gegeben hat. Es hat allerdings den Nachteil, dass es keine Prüfung gibt, ob das System überhaupt bereits gepatcht wurde und deshalb eventuell überhaupt nicht mehr angreifbar ist. Aus unserer Sicht ist der Nutzen deshalb begrenzt. Das Skript ist unter PowerShell-Testskript Test-ProxyLogon.ps1 auf Github verfügbar.

Microsoft hat außerdem eine Exe-Datei veröffentlicht, mit der geprüft werden kann, ob die Lücke aktuell besteht. Ein Nachteil ist allerdings, dass diese Datei für eine hohe Auslastung (bis zu 99% CPU-Last) für die Dauer der Prüfung sorgt, die sogar mehr als eine Stunde in Anspruch nehmen kann. Allerdings ist – vor allem, weil auf die Schwachstellen direkt geprüft wird – diese Methode die beste Möglichkeit, eigene Systeme zu testen und abzusichern.

Server-Eye hat ein PowerShell-Skript (scan-for-hafnium.ps1) entwickelt, das die ausführbare Datei aufruft und das in die „Geplanten Tasks“ eingebunden werden kann. Dieses Skript ist im PowerShell Verzeichnis im Server-Eye OCC zu finden.

Somit können unkompliziert alle entsprechenden Systeme geprüft werden. Das Ergebnis kann dann über den „Geplante Task-Sensor“ überwacht bzw. über diesen kann entsprechend alarmiert werden. Weitere Informationen können in einer Log-Datei eingesehen werden.

Patchen betroffener Systeme

Microsoft bietet Patches für die Sicherheitslücken in „KB5000871 Security Update For Exchange Server (KB5000871)“ an. Diese werden in Server-Eye übrigens im Smart Updates automatisch ausgespielt, sofern die entsprechenden Einstellungen zum Paket und der Verzögerung gemacht wurden.

 

Solltet Ihr hierzu Fragen haben, kontaktiert gerne unseren Support!