HAFNIUM-Exploit – Microsoft Exchange Server – Überblick und Folgen

Was ist passiert?

Am 03.03.2021 wurden mehrere kritische Sicherheitslücken in Microsoft – Exchange Server festgestellt. Hierzu wurden Sicherheitsupdates für insgesamt vier Sicherheitslücken veröffentlicht. Diese Schwachstellen betreffen Microsofts Exchange Server 2010 bis 2019.

Natürlich sollten diese schnellstmöglich installiert werden – soweit zur Theorie. Zunächst wurden die Sicherheitslücken noch einigermaßen unkritisch dargestellt. Kritisch wird die Betrachtung der Lücken in Kombination. Betroffen sind Systeme, die über das Internet erreichbar sind (insbesondere Outlook Web Access ggf. auch Active Sync).

Office 365 / Exchange Online ist nicht betroffen (das wird Microsofts Cloud natürlich weiter beflügeln…)

Das BSI stuft die Schwachstelle inzwischen in der Stufe 4, als extrem kritisch ein:

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132.pdf

Interessant ist hier sicher auch das Video des BSI, das den heutigen Livestream / Webinar zeigt:

Was kann passiert sein?

Durch die Lücke können Daten abgeflossen sein oder Schadsoftware eingeschleust worden sein. Die Auswirkungen wird man erst in ein paar Wochen sehen, wenn die ersten Datenverschlüsselungen oder weitergehende Angriffe erfolgen.

Was ist zu tun?

Natürlich sind die Systeme zu patchen und die Updates einzuspielen. Es zeigt sich jedoch, dass viele Exchange Server noch nie ein CU (Cumulative Update) erfahren haben. Ggf. ist auch hilfreich den Server offline zu nehmen.

Danach erfolgt eine Analyse, ob und in welchem Umfang man betroffen ist. Hierzu hat Microsoft diverse Scripte zusammengestellt. Ich verlinke hier auf die Seite des BSI, denn diese wird ständig aktualisiert.

Interessant ist dort der Link „Microsoft Exchange Schwachstellen Detektion und Reaktion.:

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Server/Microsoft-Exchange_Schwachstelle/schwachstelle_exchange_server_node.html

Vereinfacht gesagt, muss geprüft werden, ob die Schwachstelle ausgenutzt wurde. Firewall-Logs abgesucht werden, etc. Abhängig davon müssen weitere Systeme geprüft werden. Webshells und Malware sollten über gängige Sicherheitssoftware gesucht werden.

Ansonsten empfiehlt sich eine Beweissicherung und eine Überwachung der Firewall-Logs.

Datenschutz / Datensicherheit / DSGVO und Meldepflicht

Ist das System kompromittiert worden, kann dieser Vorgang meldepflichtig sind. Hierzu sollte man auf jeden Fall den Datenschutzbeauftragten bzw. den IT-Sicherheitsbeauftragten involvieren. Entsprechende Fristen sind ebenfalls einzuhalten. Auch eine Strafanzeige könnte hilfreich sein.

Weitere Informationen finden sich z.B. beim bayerischen Landesamt für Datenschutzaufsicht:

https://www.lda.bayern.de/de/thema_exchange_sicherheitsluecke.html

Eine einheitliche Bewertung der Situation gibt es nicht, von daher verweise ich auf den Artikel von heise:

https://www.heise.de/news/Exchange-Hack-Uneinheitliche-Position-der-Datenschutzbehoerden-zur-Meldepflicht-5078453.html

Was lernen wir daraus?

Nach meinem Kenntnisstand sind ein Teil der Sicherheitslücken schon länger bekannt. Das Warn-Management von Microsoft halte ich ebenfalls für nicht gelungen in diesem Fall. 0-Day Exploints können immer auftreten. Kritischer empfinde ich Exchange-Server, die seit Jahren ungepatcht verwendet werden. Teils sind die Lücken von Anfang 2020 noch nicht einmal durch Updates geschlossen worden. Mit der Pflege von Microsoft Exchange kann man schnell überfordert sein. Diesen Unternehmen kann ich nur raten, auf eine Cloud-Lösung zu wechseln, sich einen IT-Dienstleister zu besorgen oder das Produkt zu wechseln.

https://www.heise.de/security/meldung/Jetzt-patchen-Angreifer-haben-Luecke-in-Microsoft-Exchange-Server-im-Visier-4669364.html

Update: Hier noch ein Video von netatwork: