Microsofts Albtraum: Das Exchange-Server-Desaster

Am 2. März 2021 hatte Microsoft vor Angriffen auf kritische 0-Day-Lücken im Exchange-Server gewarnt und eine Reihe Sicherheits-Updates veröffentlicht. Wie ernst die Lage ist, zeigte der Patch für den seit Monaten nicht mehr unterstützten Exchange Server 2010 SP3. Gestern folgten dann Updates für weitere nicht mehr unterstützte Versionsstände - und das ist etwas, das Microsoft so gut wie nie macht. In den vergangenen Stunden kamen diverse Skripte, mit denen sich erfolgte Einbrüche und Manipulationen erkennen lassen, hinzu. Redmond scheint im Panik-Modus und das aus gutem Grund.

Wie alles begann
Vergangenen Dienstag warnte Microsoft vor mehreren kritischen 0-Day-Lücken (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065) in seinem Exchange-Server, die bereits für gezielte Angriffe genutzt würden. Vom Microsoft Threat Intelligence Center (MSTIC) wurden die Angriffe der Gruppe HAFNIUM zugeordnet, die angeblich von der chinesischen Regierung finanziert wird bzw. in deren Auftrag spioniert. Viele Firmen und Institutionen vertrauen auf Microsofts Exchange zur Verwaltung und Organisation von E-Mails, Kontaktdaten, Terminen und Aufgaben, was diese Software zu einem überaus attraktiven Ziel macht. Der Exchange Server läuft dabei auf einem lokalen Windows Server (on-premises) oder wird als Cloud-Dienst Exchange Online im Rahmen von Microsoft 365 (vormals Office 365) angemietet. Von den aktuellen Sicherheitsanfälligkeiten sind ausschließlich lokale Installationen betroffen, Angriffe auf Exchange Online soll es nicht gegeben haben.

Die Angriffskette
Die Angriffskette besteht aus vier Sicherheitslücken, deren Ausgangspunkt ein zum Internet offener Port 443 darstellt:

• CVE-2021-26855 (aka ProxyLogon): Bietet der Exchange-Server die Möglichkeit, nicht vertrauenswürdige Verbindungen von einer externen Quelle zum Port 443 herzustellen, kann ein Angreifer beliebige HTTP-Anforderungen senden und sich dabei als Exchange-Server authentifizieren (Server-Side Request Forgery). Oder um es anders zu formulieren: Der Angreifer umgeht jegliche Authentifizierung und agiert dennoch mit Admin-Rechten!
• CVE-2021-26857: Diese unsichere Deserialisierung im Dienst Unified Messaging führt von einem Benutzer kontrollierte Daten im Kontext des Systems aus. Der Benutzer muss hierfür administrative Rechte besitzen, was dank ProxyLogon ja kein Problem darstellt. Oder um es anders zu formulieren: Der Angreifer hat nun volle Systemrechte.
• CVE-2021-26858 und CVE-2021-27065: Diese beiden Schwachstellen ermöglichen es einem authentifizierten Benutzer, Dateien in einem beliebigen Pfad auf dem Server zu schreiben. Oder um es anders zu formulieren: Der Angreifer erstellt und überschreibt nach Lust und Laune Dateien, beispielsweise um sich einen dauerhaften Zugang zu sichern.

Never fix a running system? Doch!
Wie so oft erweisen sich lokale Exchange-Installationen als Schwachpunkt, denn allzu häufig hängt der Patch-Level der selbst gewarteten Software um mehrere Monate hinterher. Administratoren befürchten - durchaus zurecht - zeitraubende Probleme durch unausgereifte Updates und installieren diese erst nach einer gewissen Reifezeit oder wenn dies absolut erforderlich ist. Sicherheitslücken, die sich von außen nicht angreifen lassen, werden dabei gerne ignoriert, schließlich geht von diesen keine unmittelbare Gefahr aus. Wenn Angreifer dann doch durch eine 0-Day-Lücke wie CVE-2021-26855 auf die Systeme gelangen können, finden sie reichlich Möglichkeiten, tiefer in die Domain vorzudringen, Daten abzugreifen und Hintertüren einzubauen. Genau dann herrscht Land unter und diese Situation sehen wir aktuell.

Sicherheits-Updates außer der Reihe - auch für nicht mehr unterstützte Versionen
Microsoft hat es nicht leicht. Nach wie vor muss das Unternehmen zu viele unterschiedliche Generationen von Betriebssystemen und Programmen pflegen, wodurch die Fehlerquote steigt. Solche Probleme verschrecken Administratoren und verhindern eine schnelle Verbreitung der aktuellen Patch-Level, was zu einer weiteren Fragmentierung der unterschiedlichen Installationsstände führt. Offiziell pflegt Microsoft derzeit drei Generationen seiner Exchange Server über fünf Update-Ebenen. Sofern die IT-Abteilung die Software auf dem aktuellen Stand hält, lassen sich neue Updates sofort einspielen, denn diese Updates bauen in der Regel aufeinander auf (Cumulative Updates):

• Exchange Server 2019 CU 8 und CU 7
• Exchange Server 2016 CU 19 und CU 18
• Exchange Server 2013 CU23

Hängt die lokale Installation jedoch zurück, muss diese im Normalfall zunächst auf den aktuellen Stand gebracht werden und all die über Monate ignorierten Baustellen werden auf einen Schlag akut. Dies lässt die Verantwortlichen auch in kritischen Situationen oft zögern, doch diesmal ist die Lage so ernst, dass Microsoft eine dritte Variante anbietet: Reine Sicherheits-Updates für nicht offiziell unterstütze Versionen. Diese stopfen ausschließlich die Sicherheitslücken, ohne den Versionsstand anzuheben. Und man geht in Redmond sogar noch einen Schritt weiter: Auch für den Exchange Server 2010 SP3, dessen Support am 13. Oktober 2020 abgelaufen war, gibt es ein neues Update!

Erfolgte Zugriffe erkennen und abwehren
Microsoft hat in den vergangenen Stunden mehrere Skripte veröffentlicht, mit dem sich Exchange-Installationen auf die vier Sicherheitslücken CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 prüfen (Test-ProxyLogon.ps1) und provisorisch abdichten lassen (ExchangeMitigations.ps1). Darüber hinaus ist es möglich, die Hash-Werte von Dateien in den virtuellen Verzeichnissen abzugleichen (CompareExchangeHashes.ps1), um Manipulationen aufzuspüren. Die Dateien im IIS-Wurzelverzeichnis werden dabei allerdings nicht geprüft. Das Skript BackendCookieMitigation.ps1 richtet ein Filter für bösartige Https-Anfragen (X-AnonResource-Backend und X-BEResource-Cookies), wie sie für die Schwachstelle CVE-2021-26855 eingesetzt werden, ein. Die Datei http-vuln-cve2021-26855.nse ist für den Einsatz mit nmap gedacht und dient zur Erkennung verwundbarer URLs (CVE-2021-26855).

Weiterführende Informationen
Inzwischen haben laut Microsoft weitere Akteure den Angriff aufgegriffen und man muss weltweit von weit mehr als hunderttausend kompromittierten Servern ausgehen. Alleine in Deutschland sind laut Bundesamt für Sicherheit in der Informationstechnik rund 57.000 Exchange-Server angreifbar. Im Folgenden haben wir die relevantesten Links zu diesem Thema zusammengefasst:

• Updates für unterstützte Versionen: March 2021 Exchange Server Security Updates (inklusive Exchange Server 2010)
• Updates für nicht mehr unterstützte Versionen: Security Updates for older Cumulative Updates of Exchange Server
• Skripte zum Prüfen und Härten der eigenen Installation: CSS-Exchange Security scripts
• Ursprüngliche Sicherheitswarnung von Microsoft: HAFNIUM targeting Exchange Servers with 0-day exploits
• Das BSI warnt: Kritische Schwachstellen in Exchange-Servern
• ProxyLogon: The latest pre-authenticated Remote Code Execution vulnerability on Microsoft Exchange Server (CVE-2021-26855)