Exchange-Hacker kapitulieren vor Office 365

Exchange-Hacker kapitulieren vor Office 365

Beitrag teilen

Angreifer nutzen SSRF-Schwachstelle für extrem groß angelegte Exchange-Server-Übernahmen. Allerdings: Exchange-Hacker kapitulieren vor Office 365. Ein Kommentar von Dr. Klaus Gheri, General Manager Network Security bei Barracuda Networks.

Seit letzter Woche geht ein Aufschrei durch die Gemeinde der Exchange-E-Mail-Server-Betreiber, nachdem Microsoft bekanntgab, dass eine Cybercrime-Gruppe, bekannt als Hafnium, ihre Angriffskampagne startete, die Schwachstellen um die Outlook Web Access-Schnittstelle von Microsoft Exchange ausnutzt. Und Schwachstellen gibt es viele. Entsprechend drastisch sind die Schlagzeilen, die seitdem produziert werden. Im Allgemeinen seien Unternehmen in ganz Deutschland betroffen, im Speziellen mehrere Bundesbehörden, darunter das Umweltbundesamt, das daraufhin sein komplettes E-Mail-System in Quarantäne schickte, oder das Paul-Ehrlich-Institut. Grundsätzlich sei die IT-Sicherheit in Deutschland desaströs.

Anzeige

Doch ganz so neu ist diese Kampagne nicht. Denn jüngste Untersuchungen haben ergeben, dass die Angriffe bereits seit über zwei Monaten stattfinden. Nichtsdestotrotz haben sie massive Auswirkungen und trafen weltweit bisher rund 60.000 Ziele. Doch was steckt eigentlich genau dahinter? Und noch wichtiger: Was können Organisationen dagegen tun?

Exchange-Übernahme in anfälligen Systemen

Die Sicherheitslücken, die ausgenutzt wurden, waren CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065. CVE-2021-26855 ist eine SSRF-Schwachstelle (Server-Side Request Forgery) in Exchange, die es dem Angreifer ermöglicht, beliebige HTTP-Anfragen zu senden und sich als Exchange-Server zu authentifizieren. CVE-2021-26855 wird bevorzugt verwendet, um anfällige Systeme zu identifizieren. Die übrigen Schwachstellen scheinen mit dieser Schwachstelle verkettet zu sein, um weitere Exploits auszuführen, darunter sogenannte Webshells. Eine Webshell ist eine böswillige webbasierte Schnittstelle, die den Remotezugriff und die Steuerung auf einen Webserver ermöglicht, indem beliebige Befehle ausgeführt werden.

Angegriffene URLs

Barracuda Auswertung Exchange Attacke

Vor der Exchange-Attacke sondierten die Angreifer besonders häufig einige URLs (Bild: Barracuda).

Die Security-Analysten von Barracuda konnten seit Märzbeginn eine anfangs moderate und später deutliche Zunahme an Sondierungsversuchen für CVE-2021-26855 feststellen. Eine beträchtliche Anzahl davon richtete sich gegen Systeme, auf denen im Backend nicht Exchange lief. Die häufigsten URLs, die die Angreifer sondierten waren:

  • /owa/auth/x.js
  • /ecp/y.js
  • /ecp/program.js
  • /ecp/x.js
  • //ecp/x.js

Anscheinend verwendeten die meisten dieser Probes die Cookies X-AnonResource-Backend und X-BEResource. Beide endeten mit dem Parameter „?~3“. Das Microsoft-Skript beschreibt diesen zum Scannen von Sicherheitsrisiken. Die von diesen Scannern benutzten UserAgents waren hautsächlich ExchangeServicesClient, python-requests und nmap. Daneben wurden aber auch Standard-Browser-Header verwendet. Es ist davon auszugehen, dass die Angreifer noch einige Wochen verstärkt nach den genannten Schwachstellen suchen und sie ausnutzen werden, bevor sich die Attacken auf ein niedrigeres Niveau einpendeln werden.

Erfolglose Angriffe auf Office 365-E-Mail-Umgebungen

Eine wichtige Erkenntnis aus den Security-Analysen ist, dass die Hacker mit ihren Angriffen gegen Unternehmen, die Office 365 nutzen, gegen verriegelte Sicherheitstüren liefen und erfolglos blieben. Offensichtlich ist die Cloud – wie von vielen Security-Experten wiederholt betont, sicherer als veraltete, lokale Lösungen. Hafnium hat demnach gezeigt, dass die Cloud für viele Organisationen und Unternehmen noch keine Option ist. Warum ist das so?

Fehlende Informationen

Exchange Attacke

Seit Beginn März gab es eine anfangs moderate und später deutliche Zunahme an Sondierungsversuchen für CVE-2021-26855 (Bild: Barracuda).

Entweder sind die Vorteile einer Migration in die Cloud nicht gänzlich verstanden oder man scheut sich, den ersten Schritt in Richtung Migration zu wagen. Also bleibt erst einmal alles lieber beim Alten, sprich beim vorhandenen lokalen Ansatz.

Angst vor Kontrollverlust

Häufig herrscht das Gefühl vor, in der Cloud weniger Kontrolle über Ressourcen und Workloads zu haben als bei lokalen Servern, obwohl diese mehr Zeit für die Verwaltung benötigen und nicht so sicher sind.

Bestehende Vorschriften

In bestimmten stark regulierten Branchen müssen Unternehmen eine Vielzahl von Anforderungen an die Datenspeicherung und -aufbewahrung einhalten, was den Wechsel in die Cloud erschweren kann.

Die Nutzung eines Cloud-gehosteten E-Mail-Anbieters erlaubt eine schnellere Bereitstellung von System-Updates und Security-Patches, um sich vor Zero-Day-Angriffen wie dem jüngsten von Hafnium zu schützen. Da Microsoft eine der am häufigsten attackierten Plattformen für Cyberattacken ist, empfiehlt es sich grundsätzlich, die bestehende Sicherheit von Microsoft durch einen Drittanbieter zu ergänzen.

OWA ohne Firewall-Absicherung ist gewagt

Generell gilt, dass ein Outlook Web Access (OWA) ohne weitere Absicherung durch eine Firewall ins Internet zu stellen immer schon ein gewagtes Vorgehen war. Der Zwischenfall kann aber als Weckruf dienen, dass das eigenständige Betreiben von derartigen Infrastruktur-Diensten in Zeiten der Public Cloud ein Anachronismus ist. Das neuzeitliche Gegenstück ist Microsoft 365 mit Azure Active Directory. Der Dienst wird von Microsoft gewartet und abgesichert, sodass Schwachstellen umgehend behoben werden. Es ist jetzt höchste Zeit für alle Betroffenen über einen Wechsel nachzudenken und bis dahin das Patch-Management sowie eine zusätzliche Absicherung von Outlook Web App zu bewältigen. Leider steht der Weg nicht allen so einfach offen, da in manchen Bereichen Regulatorien die Nutzung von Diensten in der Public Cloud einschränken. Darüber sollte man angesichts des massiven Datenverlusts, der hier gerade bei vielen Organisationen eingetreten ist, ernsthaft nachdenken.

Mehr dazu bei Barracuda.com

 


Über Barracuda Networks

Barracuda ist bestrebt, die Welt zu einem sichereren Ort zu machen und überzeugt davon, dass jedes Unternehmen Zugang zu Cloud-fähigen, unternehmensweiten Sicherheitslösungen haben sollte, die einfach zu erwerben, zu implementieren und zu nutzen sind. Barracuda schützt E-Mails, Netzwerke, Daten und Anwendungen mit innovativen Lösungen, die im Zuge der Customer Journey wachsen und sich anpassen. Mehr als 150.000 Unternehmen weltweit vertrauen Barracuda, damit diese sich auf ein Wachstum ihres Geschäfts konzentrieren können. Für weitere Informationen besuchen Sie www.barracuda.com.


Passende Artikel zum Thema

Cybersecurity-Trends 2025

Die Cybersecurity befindet sich derzeit in einem dramatischen Wandel. Während Cyberkriminelle zunehmend KI-gestützte Angriffsmethoden entwickeln und ihre Taktiken verfeinern, stehen ➡ Weiterlesen

Disaster-Recovery-as-a-Service – DRaaS-Lösung

Investitionen in DRaaS (Disaster-Recovery-as-a-Service) sind sinnvoll und zukunftsweisend, denn DRaaS hilft den Unternehmen, ihre IT-Systeme und Daten im Fall eines ➡ Weiterlesen

Digitale Zertifikate mit verkürzter Lebensdauer

Apple hat sich nun Google angeschlossen und drängt auf eine kürzere Lebensdauer von Zertifikaten, um die Online-Sicherheit zu verbessern. Indem ➡ Weiterlesen

Kritische Sicherheitsmängel bei ICS-/OT-Fachkräften

Eine aktuelle OT/IT-Sicherheitsstudie fand heraus, dass über die Hälfte der ICS-/OT-Fachkräfte über zu wenig Erfahrung verfügt. Obwohl zwei Drittel der ➡ Weiterlesen

Cloud-Datenschutzstrategien für Gesundheitsdienstleister

Die Digitalisierung im Gesundheitswesen nimmt stetig zu. Im gleichen Ausmaß nimmt die Gefahr von Cyberattacken zu. Der Schutz sensibler Daten ➡ Weiterlesen

API-Angriffe: Diese Bereiche sind gefährdet

In vielen Unternehmen fehlt ein Monitoring über schadhafte Strukturen oder Dritt-Anbieter-APIs. Das macht APIs besonders vulnerabel und zum Ziel für ➡ Weiterlesen

CPS: Angriffe auf vernetzte Geräte sind teuer und zeitintensiv 

Jeder dritte Angriff auf cyber-physische Systeme in Deutschland verursacht Kosten von mehr als 1 Million US-Dollar, das zeigt der Report ➡ Weiterlesen

Katz-und-Maus-Spiel mit nationalstaatlichen Gegnern in China

Sophos hat den Report „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten ➡ Weiterlesen