"Hafnium" - Die kritische Exchange Lücke!

von (Kommentare: 0)

Informieren Sie sich umgehend darüber und wie Sie sich davor schützen können!

Die hochkritische Sicherheitslücke "Hafnium"

Es sind alle Exchange Versionen davon betroffen - handeln Sie also umgehend!

Diese nicht gerade alltägliche Sicherheitslücke erschüttert zurzeit die Microsoft Exchange Umgebung und damit einen Großteil aller Firmen weltweit. Denn die bereits im Dezember entdeckte Lücke (oder besser gesagt mehrere Lücken) ist nicht nur hochkritisch weil eben bereits Attacken auf produktive Systeme laufen, sondern auch weil die Auswirkungen in mehrfacher Hinsicht als durchaus sehr dramatisch zu beschreiben sind:

  • Denn zum einen können über diese Lücke entsprechende Informationen abgesaugt werden (vom Offline Adressbuch mit seinen gesamten Unternehmensinformationen bis hin zu gesamten Mailbox Inhalten).
  • Andererseits kann ein kompromittierter Exchange Server Node die Basis Plattform für weitere Attacken im Unternehmensnetzwerk dienen!

Dennoch sollte man jetzt nicht in Panik verfallen, sondern mit kühlem Kopf die angezeigten Maßnahmen treffen. Sollten Sie sich an dieser Stelle nicht sicher sein, konsultieren umgehend Sie den Dienstleister Ihres Vertrauens für die Durchführung der Maßnahmen!

Zuerst einmal: Umgehend patchen!

Unabhängig von allen anderen Dingen sollten Sie umgehend eine Downtime planen in welchen Sie die jeweiligen Exchange Nodes ( Versionen 2010 - 2019) umgehend vom Netz trennen (sofern diese über Port 443 erreichbar sind und WebApp oder Active Sync Services bereitstellen).

Wichtig ist es für die anschließende Spurensuche, dass keinerlei Logfiles des Exchange Servers gelöscht werden!

Die Spurensuche danach

Nachdem das System gepatcht worden ist - was je nach Exchange Server einige Zeit in Anspruch nehmen kann (durchaus auch 1 Stunde - dies beim Wartungsfenster beachten) - sollte man den zuvor noch offenen Server auf jeden Fall genauer untersuchen.

Hierfür bietet uns Microsoft ein aktuelles Tool in Form eines Powershell Skriptes an, mit welchen man den jeweiligen Server unkompliziert auf Spuren einer Attacke oder sogar Kompromittierung untersuchen kann. Dieses Skript wertet verschiedene Indizien an, dass entweder versucht worden ist das System auf vorhandene Lücken auszuspähen, oder sogar bereits auszunutzen!

Für die erste Spurensuche verwenden Sie die "Test-ProxyLogon.ps1" aus dem Gitrepo, welches ich hier verlinkt habe. Sollte das Skript keinerlei verdächtige Spuren entdecken, es durchsucht u.a. sämtliche Log Dateien des Exchange Servers auf Einbruchsspuren und verdächtige Aktivitäten durch URL Manipulationen, dann zeigt es eine wunderbare "grüne" Meldung an, dass bisher nichts passiert zu sein scheint:

Zusätzlich sollten Sie einen aktuellen Virenscanner Ihrer Wahl umgehend in einem "Full System" Scan anwenden. Microsoft hat hierfür bereits seinen Defender entsprechend aktualisiert und bietet mit dem Microsoft Safety Scanner ein sehr unkompliziertes Tool für den Download und Einsatz ohne vorhergehende Installation oder permanente Verankerung in Ihrem System.

Dies wäre der "optimale" Fall - also dass es keinen Einbruch oder Einbruchsversuch gegeben hat - wenn Ihre Log Dateien entsprechend auch einen Zeitraum von zumindest der letzten 2 bis 3 Wochen umfassen.

Mit der Powershell auf einem der Active Directory Controller können Sie versuchen entsprechend modifizierte Objekte aufzuspüren:

Get-ADObject -Filter * -Properties * | where { (($_.whenCreated -ge $week) -or ($_.whenChanged -ge $week)) } | select Name,whenCreated,whenChanged | Sort-Object whenChanged

Damit würden sich alle Objekte im Active Directory anzeigen lassen, welche in einem Zeitrahmen - definiert durch die Variable "$week" - geändert worden wären. Ohne entsprechend zusätzlich aktiviertes Tracking lässt sich aber nicht feststellen was und von welchem User!

Fazit

Wenn das Skript „Test-ProxyLogon.ps1“ von Microsoft Auffälligkeiten feststellt, dann lässt sich der Schaden erst nach einer entsprechend eingehenden, forensischen Untersuchung sagen. Die Wege führen von einem abgesicherten Weiterbetrieb des Servers bis hin zur einer „Greenfield“ Situation, also wo ein entsprechend kompromittierter Server komplett neu installiert wird. Die Abschätzung muss jeder IT Verantwortliche selbst treffen. Denn während eine Neu Installation natürlich entsprechend viel Geld und Zeit in Anspruch nehmen kann – der Weiterbetrieb eines unklar verseuchten Servers kann deutlich kostspieliger und riskanter sein!

Aber selbst wenn weder Logfile Analyse Skript und Virenscanner keine Auffälligkeiten zeigen, bedeutet es nicht, dass der betroffene Server „clean“ ist. Sofern er während der Angriffswellen bisher ungepatcht im Internet erreichbar gewesen ist.

Zurück

Kommentare

Einen Kommentar schreiben

Bitte addieren Sie 3 und 3.