Proxylogon-Sicherheitslücke auf Microsoft Exchange Servern
Hinweise für Verantwortliche - Stand 16. März 2021
Dieser Text richtet sich vorrangig an Verantwortliche, die einen aus dem Internet erreichbaren Microsoft Exchange-Server mit einem der Dienste Outlook Web Access (OWA), Unified Messaging (UM), Exchange Control Panel (ECP) VDir, Offline Address Book (OAB) VDir oder ActiveSync betreiben. Die Schwachstelle ist als äußerst kritisch zu bewerten, sofortiges Handeln ist notwendig.
Die Sicherheitslücke mit dem Namen Proxylogon besteht aus vier verschiedenen Schwachstellen, denen zusammen einer der höchsten Werte für Schwachstellen (CVSS-Score 9.1) zugewiesen wurde. Das Bundesamt für die Sicherheit in der Informationsverarbeitung (BSI) hat daher zum ersten Mal seit dem Auftreten der Heartbleed-Sicherheitslücke im Jahre 2014 die "IT-Bedrohungslage: 4/Rot" ausgesprochen.
Die Sicherheitslücke wird inzwischen von mehr als zehn verschiedenen Akteuren ausgenutzt, sofortiges Handeln ist daher dringend notwendig, soweit dies nicht bereits geschehen ist. Jeder Verantwortliche, der einen wie oben beschriebenen konfigurierten Exchange Server betreibt, sollte daher die fortlaufend aktualisierten Veröffentlichungen des BSI (weiterhin) verfolgen und die dort beschriebenen Maßnahmen umsetzen.
Zu den ersten Maßnahmen, die getroffen werden sollten, gehören:
- das Deaktivieren der genannten Dienste (möglichst in Verbindung mit einer Sperrung auf der Firewall oder dem Router), oder – soweit diese unentbehrlich sein sollten – deren Schutz vor Zugriffen aus dem Internet durch Beschränkung des Zugriffes auf VPN-Zugänge
- Im zweiten Schritt ist das Einspielen der von Microsoft bereitgestellten Sicherheitsaktualisierungen erforderlich, wobei Microsoft ausdrücklich darauf hinweist, dass das Einspielen der Aktualisierungen keinen Schutz gegen bereits erfolgte Angriffe darstellt
- Im dritten Schritt muss die Suche nach bekannten Webshells gemäß der Anleitung des BSI folgen.
Da inzwischen bereits Verschlüsselungsangriffe ausgeführt werden, um Lösegeld für die verschlüsselten Daten zu erpressen, ist spätestens jetzt für eine funktionierende und regelmäßige Datensicherung zu sorgen – ein Standard, der ohnehin nie vernachlässigt werden darf.
Sachstand und Bedrohungslage
Wie beschrieben, ist die Bedrohung als kritisch einzuschätzen. Nach Angaben des BSI ist spätestens bei Systemen, die am 6. März 2021 noch nicht mit Sicherheitsaktualisierungen versehen waren, davon auszugehen, dass diese kompromittiert sind.
Da Exchange Server vielfach mit sehr hohen Rechten im Active Directory betrieben werden, ist es mit geringem Aufwand möglich, die gesamte Domäne zu kompromittieren. Hinzu kommt, dass die Schwachstelle durch einen infizierten Client auch aus dem lokalen Netz heraus ausnutzbar ist, so dass in jedem Falle die Sicherheitsaktualisierungen umgehend installiert werden sollten.
Die Schwachstelle besteht seit mehr als zehn Jahren und wurde bereits vor dem Bekanntwerden der Angriffe vom Sicherheitsunternehmen DevCore entdeckt. Da zudem weitere Angreifer die Sicherheitslücke vor der Bereitstellung der Aktualisierungen auszunutzen begannen, muss davon ausgegangen werden, dass die Schwachstellen von verschiedenen Sicherheitsforschern und Angreifern unabhängig voneinander entdeckt wurden. Daher ist es nur bedingt möglich, einen Zeitpunkt belastbar zu ermitteln, zu dem die Angriffe begannen; die ältesten bekannten Angriffe begannen spätestens im November 2020.
Suche nach installierten Hintertüren
Das BSI verlangt, dass nach Webshells gesucht werden muss. Wie die Aktualisierung der BSI-Cybersichersicherheitswarnung zeigt, ist die Liste der möglichen Webshells unvollständig und wird dem jeweiligen Kenntnisstand entsprechend fortgeschrieben; daneben listen andere Quellen eine Vielzahl weiterer möglicherweise befallener Dateien auf.
Daraus kann geschlossen werden, dass Server, auf denen eine dieser Dateien gefunden werden, nachweislich kompromittiert und neu aufzusetzen sind; umgekehrt ist das Nichtauffinden kein Nachweis, dass der Server nicht angegriffen wurde. Der Verantwortliche hat daher unter der Berücksichtigung der Garantiepflicht aus Art. 25 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) und der Pflicht zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus aus Art. 32 Abs. 1 DS-GVO zu prüfen und sicherzustellen, dass insbesondere die Gewährleistungsziele der Vertraulichkeit und Integrität weiterhin gewahrt werden. Eine Neuinstallation ist daher dringend zu erwägen.
Das Einspielen einer Datensicherung der Installationsdateien erscheint hingegen wenig angebracht, da inzwischen bekannt ist, dass bereits vor der Bereitstellung der Fehlerkorrekturen von Microsoft die Sicherheitslücke durch verschiedene Akteure ausgenutzt wurde. Die Bestimmung eines Zeitpunktes, vor dem ein erfolgreicher Angriff ausgeschlossen werden kann, ist daher problematisch.
Fazit
Die Bedrohungslage ist sehr ernst. Wer einen der genannten Dienste auf seinem Exchange-Server aktiviert hat, kann – außer bei Betrieb eines Intrusion Detection Systems (IDS) – sich kaum Gewissheit verschaffen, dass sein System nicht betroffen ist. Dringend anzuraten sind neben den eingangs erwähnten Maßnahmen, sowie der Umsetzung der Empfehlungen des BSI insbesondere die Verfolgung der weiteren Empfehlungen des BSI, sowie der Veröffentlichungen der LfD Niedersachsen.
Unter Berücksichtigung des Umstandes, dass eine ähnliche Lücke bereits vor einem Jahr durch die lettische IT-Sicherheitsbehörde CERT veröffentlicht wurde und die Lücke bereits über zehn Jahre alt ist, muss befürchtet werden, dass bei der Entwicklung nur unzureichende Maßnahmen zur Vermeidung derartiger Fehler getroffen wurden. Dass auch nach der Veröffentlichung dieser Lücke mit der Bezeichnung CVE-2020-0688[1] keine Maßnahmen getroffen wurden, die zur rechtzeitigen Entdeckung der jetzigen vier Sicherheitslücken geführt hätten, lässt nicht erwarten, dass im Rahmen der außerplanmäßigen Bereitstellung der Sicherheitsaktualisierung die Zeit für entsprechende Analysen zur Verfügung stand. Daher musste von Anfang an die Existenz weiterer ähnlicher Lücken erwartet werden.
Wie Recherchen weiterer Sicherheitseinrichtungen belegen (z. B. durch das österreichische CERT.at), gibt es drei weitere Sicherheitslücken (CVE-2021-26412, CVE-2021-26854, CVE-2021-27078), die es ermöglichen, aus der Ferne Programmcode auszuführen; zwei der drei gelten ebenfalls als kritisch. Alle drei sind bereits seit Ende Januar, Anfang Februar 2021 bekannt. Daher muss davon ausgegangen werden, dass Angreifer nach der Veröffentlichung, spätestens jedoch mit Bereitstellung der Sicherheitsaktualisierungen systematisch nach Möglichkeiten gesucht haben, diese auszunutzen. Nach Angaben des US-amerikanischen Heimatsicherheitsministeriums stehen diese drei Sicherheitslücken im Zusammenhang mit den vier Proxylogon-Lücken. Relevante Details, die einem Verantwortlichen eine nähere Abschätzung dieser Sicherheitslücken im Hinblick auf seine eigenen Systeme ermöglichen, stellt Microsoft bedauerlicherweise nicht zur Verfügung.
Unter diesen Umständen ist mit hoher Wahrscheinlichkeit mit dem Bekanntwerden weiterer ähnlicher Sicherheitslücken in nächster Zeit zu rechnen. Daher sollte auch auf einem aktualisierten System von einer Bereitstellung der obigen Dienste über das Internet abgesehen werden. Insbesondere der Empfehlung des BSI zur erweiterten Systemprotokollierung und umgehenden Auswertung der Protokolle sollte unbedingt Folge geleistet werden.
[1] CVE ist ein Industriestandard für eine einheitliche Namenskonvention für Sicherheitslücken und andere Schwachstellen in Computersystemen. Es ist die Kurzform von "Common Vulnerabilities and Exposures" (deutsch häufige Schwachstellen und Anfälligkeiten).
Weitere Informationen