Signifikante Angriffe auf Microsoft Exchange ProxyLogon entdeckt

Die Schwachstelle ProxyLogon ist im Prinzip nichts anderes als die elektronische Variante der Aufhebung aller Zugangskontrollen, Sicherheitsvorrichtungen und Schlösser am Haupteingang eines Unternehmens. Dann könnte jeder einfach hineinspazieren, schätzt Antti Laatikainen, Senior Security Consultant bei F-Secure die aktuelle Situation ein. Unternehmen sollten jetzt handeln, um eine vollständige Ausnutzung dieser Schwachstelle in ihren Microsoft Exchange-Servern zu verhindern.

„Unternehmen können sich immer noch gegen diese Angriffe wehren, wenn sie über entsprechende Möglichkeiten zur Sicherheitsüberwachung verfügen, wie z. B. Endpoint Detection and Response (EDR) oder Rapid Detection and Response (RDS) zusammen mit Netzwerküberwachung und einer effektiven Pathing Policy. Es gibt unzählige Maßnahmen, die sie selbst durchführen können, um eine vollständige Katastrophe zu verhindern. Ich fordere Unternehmen dazu auf, diese umgehend umzusetzen.”

Die von F-Secure zum Schutz der Kunden entwickelte generische Webshell-Erkennung TR/Downloader.Gen, verzeichnet seit der letzten Woche, nachdem die ProxyLogon-Schwachstelle Proof-of-Concept am 11. März veröffentlicht wurde, einen sprunghaften Anstieg. Der Höhepunkt wurde zwar am vergangenen Mittwoch erreicht, aber es werden immer noch erhebliche Aktivitäten festgestellt, die in die Zehntausende gehen. Die Länder mit den meisten Erkennungen, in absteigender Reihenfolge, sind Italien, Deutschland, Frankreich, Großbritannien, die Vereinigten Staaten, Belgien, Kuwait, Schweden und die Niederlande sowie Taiwan.

Dringender Handlungsbedarf ist notwendig

Ein Angreifer könnte schnell einen gehackten Server übernehmen, Dateien und Programme hochladen und den Server als Einstieg in andere Teile des Netzwerks nutzen. Da ProxyLogon den Zugriff auf die unteren Schichten des Servers – und von dort auf das restliche Netzwerk der Organisation – erlaubt, ist eine umfangreiche Reihe von unbemerkten Netzwerkeinbrüchen möglich. Im Fall Vastaamo wurden beispielsweise die Daten von 40.000 Psychotherapie-Patienten gehackt, bevor jemand bemerkte, dass der Datenbankserver kompromittiert worden war.

Die schlimmste Befürchtung in der Cybersicherheitswelt ist, dass in diesem Moment Dutzende oder sogar Hunderte von Datenverletzungen vom Typ Vastaamo in Unternehmensnetzwerken stattfinden. Diese Verstöße könnten völlig unbemerkt im Hintergrund erfolgen. Und erst nach Monaten oder Jahren wird klar, was gestohlen wurde. Wenn ein Angreifer weiß, was er tut, sind die Daten höchstwahrscheinlich bereits gestohlen oder werden gerade jetzt gestohlen.

Erschwerend kommt hinzu, dass automatisierte Angriffsskripte der Öffentlichkeit zur Verfügung gestellt werden, die es auch ungeschulten Angreifern ermöglichen, schnell die Kontrolle über einen verwundbaren Microsoft Exchange Server zu übernehmen. Es gibt sogar ein voll funktionsfähiges Tool zum Ausnutzen der Schwachstellen-Kette, das in der Metasploit-Anwendung veröffentlicht wurde, die üblicherweise sowohl für Hacking- als auch für Sicherheitstests verwendet wird. Dieses freie Tool wird nun von einer großen Anzahl krimineller Banden, staatlich unterstützter Bedrohungsakteure und neugieriger opportunistischer „Skript-Kiddies“ ausgenutzt.

Anzunehmender Einbruch

„Weltweit sind bereits Zehntausende von Servern gehackt worden“, sagt Laatikainen. „Die Hacker agieren dabei schneller, als es uns lieb ist. Global gesehen ist das eine Katastrophe, die sich anbahnt.“

Laut den Analysen von F-Secure ist nur etwa die Hälfte der im Internet sichtbaren Exchange-Server gepatcht. Leider ist die Installation der Sicherheitspatches allein noch keine Garantie dafür, dass der Server sicher ist, da ein Hacker ihn möglicherweise schon vor der Installation des Updates gehackt haben könnte.

„Noch nie in den letzten 20 Jahren, in denen ich mittlerweile in der Branche tätig bin, war die Annahme so berechtigt, dass bei einem Unternehmen mit installiertem Exchange Outlook Web Access mindestens einmal digital an die Tür geklopft wurde. Weil der Angriff so einfach ist, kann man davon ausgehen, dass die Mehrheit dieser Unternehmen bereits angegriffen wurde“ sagt Laatikainen. Das finnische Nationale Zentrum für Cybersicherheit teilt diese Sichtweise und rät Unternehmen öffentlich „davon auszugehen, dass sie angegriffen wurden.“

Der Schaden kann noch begrenzt werden

Da solche Einbrüche schrittweise durchgeführt werden, können die Spähbewegungen der Eindringlinge meist erkannt werden. Es besteht immer noch die Möglichkeit, den Schaden zu reduzieren oder in manchen Fällen sogar noch ganz zu verhindern.

Laatikainen erwartet, dass Unternehmen bald erste Verstöße melden werden.

“Die DSGVO verlangt, dass der Diebstahl von persönlichen Daten innerhalb von 72 Stunden an die Datenschutzbehörden gemeldet werden muss. Man muss damit rechnen, dass die Anzahl der Meldungen von DSGVO-Verletzungen in den nächsten Wochen historisch sein wird. Ihr Unternehmen muss nicht zu den Organisationen gehören, die morgen auf der Liste der Verstöße stehen, wenn Sie heute noch handeln.“