Microsoft Exchange Zero-Day Lücken – warum die Opfer fahrlässig gehandelt haben

Microsoft hat am 02. März 2021 mehrere Updates veröffentlicht, welche aktiv ausgenutzte Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065) in on-premise Exchange Installationen beheben. Drei der Schwachstellen sind als kritisch eingestuft. Die Schwachstellen erlauben von remote ausgeführte Angriffe auf Outlook-Web-Access (OWA). Der Cloud Service Exchange Online ist davon nicht betroffen. Mittlerweile haben auch nicht technische Medien über die Angriffe berichtet. Anscheinend sind auch Schweizer Unternehmen vermehrt von den Angriffen betroffen.


Was muss getan werden?

Ich werde in diesem Post nicht detailliert darauf eingehen, was getan werden muss. Dazu sind mittlerweile im Netz mehr als genügend Informationen vorhanden. Kurz gesagt, ist dies Folgendes:

    • Patches einspielen
    • Prüfen, ob die eigenen Server kompromittiert wurden. Dazu gibt es mittlerweile sogar ein fertiges Skript von Microsoft. Sollte die Analyse positiv ausfallen, sind weitere forensische Untersuchungen des Netzwerks unausweichlich. Dazu müssen in der Regel externe Experten zugezogen werden.
    • Architektur prüfen und eventuell überdenken.

Warum sind die Opfer selber schuld?

Das mag jetzt zwar sehr hart klingen, aber meiner Meinung nach sind alle betroffenen Unternehmen selber schuld an der Misere. Natürlich können sie nichts für die Schwachstellen selber. Das Ausnutzen der Schwachstellen kann aber mittels simplen Sicherheits-Mechanismen verhindert werden. Wer sich an die Best-Practices für ein Deployment von OWA gehalten hat, muss nichts befürchten oder hat zumindest deutlich kleinere Sorgen.

Der fatale Fehler war es, den OWA direkt in das Internet zu hängen, also ohne Reverse-Proxy oder WAF (Web-Application-Firewall). Man stellt den Angreifern damit ein simples Einfalls-Tor ins Firmen-Netzwerk direkt zur Verfügung. Dabei muss noch nicht einmal eine Schwachstelle im Spiel sein. Kommt ein Angreifer, z.B. über Phishing, an Credentials eines Benutzers, so hat er direkten Zugriff auf sein Postfach. Abgesehen von den vielen Informationen, die der Angreifer dadurch gewinnt, ebnet dies auch den Weg für weitergehende Angriffe.


Wie sollte OWA betrieben werden?

Nun stellt sich die Frage, wie man einen OWA am besten seinen Nutzern zur Verfügung stellt. Am besten ist es, wenn man den OWA gar nicht direkt über das Internet erreichbar macht. Die Nutzer müssen also z.B. über ein VPN darauf zugreifen. Das VPN sollte natürlich sicher authentifiziert werden, das Thema wurde im Blog schon mehrmals behandelt, z.B. hier: www.tec-bite.ch/vorsorgen-fuer-den-ernstfall-tipps-fuer-sicheren-remote-access/.

Sollte man sich entscheiden, den OWA trotzdem direkt über das Internet erreichbar zu machen, dann ist im Minimum ein Reverse-Proxy nötig. Dieser nimmt die Verbindungen aus dem Internet entgegen und gibt diese an den OWA weiter. Wichtig dabei ist, dass der Reverse-Proxy eine vorgelagerte Authentifizierung der Benutzer vornimmt.

Es wird also nur Verkehr von authentifizierten Benutzern zum Exchange vorgelassen. Die Authentifizierung wird im Optimal-Fall mit einem zweiten Faktor abgesichert. Damit ist ein Angriff schon massiv schwieriger geworden.

Wenn man es noch besser machen möchte, dann verwendet man als Reverse-Proxy eine Web-Application-Firewall (WAF). Diese prüft zusätzlich noch den Inhalt der HTTP-Sessions und blockiert Angriffe. Die WAF tut dies mit verschiedenen Mechanismen. Eine detaillierte Beschreibung würde diesen Post sprengen. Dazu vielleicht später mehr.

Grundsätzlich lässt sich also sagen, dass man nie Web-Applikationen ohne WAF ins Internet hängen sollte. Für nicht öffentliche Applikationen sollte zudem vorgelagert eine Authentifzierung der Benutzer vorgenommen werden.


Hätte IPS geholfen?

Oftmals wird unser Support bei Bekanntwerden von kritischen Schwachstellen mit Anfragen zu IPS (Intrusion-Prevention) Signaturen überflutet. Sowohl Checkpoint als auch Fortinet haben sehr schnell Signaturen für die Schwachstellen geliefert. Die Frage ist eher, ob das den Kunden geholfen hätte. Wichtig dabei ist, dass die IPS-Lösung den entschlüsselten HTTP-Verkehr sieht. Wer also die TLS-Session direkt auf dem Exchange terminieren lässt, dem hilft auch IPS nicht weiter.


Fazit

Mich überrascht, wie erfolgreich die Schwachstellen ausgenutzt werden konnten. Dies zeigt wie fahrlässig viele Unternehmen immer noch sind. Nur schon wer sich simpel an die Best-Practices zum Deployment gehalten hat, konnte sich erfolgreich schützen. Bleibt zu hoffen, dass die betroffenen Unternehmen dies nun korrigieren. Dann dürften sie es bei der nächsten Schwachstelle etwas einfacher haben.


Der Beitrag Microsoft Exchange Zero-Day Lücken – warum die Opfer fahrlässig gehandelt haben erschien zuerst auf Tec-Bite.