Backups und Patches, die Sicherheitslücken schließen, sind seit vielen Jahren eines der problematischsten Probleme im IT-Bereich. Und wenn es mit Backups besser läuft (obwohl die Anekdote über Systemadministratoren, die keine Backups erstellen oder bereits erstellen, für lange Zeit relevant sein wird), ist die Sicherheit alles traurig. Die Geschichte mit Garmin ist eine weitere Bestätigung dafür.
Restfinanzierung, Hoffnungen auf „Zufall“ und andere Faktoren führen zu regelmäßigen Lecks und Hacks. Aber die Dinge sind immer noch da. Cloud4Y hat mehr als einmal geteilt lustige Geschichten über Sicherheitslecks und Hacks . Und hier ist eine andere Geschichte, die nur die Trägheit von Unternehmen in einem scheinbar wichtigen Thema wie der Datensicherheit bestätigt.
Was ist das Problem
Bereits im Februar 2020 hat Microsoft die Sicherheitsanfälligkeit CVE-2020-0688 behoben, die Microsoft Exchange-Server betrifft. Diese Sicherheitslücke ist in der ECP-Komponente (Exchange Control Panel) vorhanden und ermöglicht es Angreifern, anfällige Microsoft Exchange-Server mithilfe zuvor gestohlener gültiger E-Mail-Anmeldeinformationen zu entführen. Um die Bedeutung des Problems hervorzuheben, fügte das Unternehmen das Flag "Exploitation More Likely Vulnerability" (Ausbeutung ist sehr wahrscheinlich) hinzu, was darauf hinweist, dass die Schwachstelle ein attraktives Ziel für Angreifer ist.
Ein gefährlicher Fehler hängt mit der Arbeit der ECP-Komponente zusammen. Exchange kann während der Installation keine eindeutigen kryptografischen Schlüssel erstellen. Dadurch können Angreifer, die die Authentifizierungsphase durchlaufen haben, beliebigen Code mit SYSTEM-Berechtigungen remote ausführen und den anfälligen Server vollständig gefährden.
Die Authentifizierungsphase selbst ist übrigens auch kein Problem. Angreifer können mithilfe von Tools Informationen über Mitarbeiter des Unternehmens über LinkedIn sammeln. Verwenden Sie dann die gesammelten Informationen in Verbindung mit dem Ausfüllen von Anmeldeinformationen für Outlook Web Access (OWA) und ECP.
Im Februar warnten Sicherheitsexperten, dass sie das Netzwerk aktiv nach anfälligen Microsoft Exchange-Servern durchsuchen. Um den Angriff auszuführen, mussten sie lediglich anfällige Server suchen, E-Mail-Adressen suchen, die über die OWA-Webclient-URL abgerufen werden konnten, oder Daten aus früheren Lecks sammeln. Wenn ein Angreifer zum Exchange-Server navigieren konnte, konnte er Unternehmens-E-Mail-Nachrichten preisgeben oder fälschen.
Zwei westliche Informationssicherheitsbehörden, NSA und CISA, warnten ebenfalls vor der frühzeitigen Installation des Patches CVE-2020-0688 und führten Fälle an, in denen diese Sicherheitsanfälligkeit von Gruppen von Hackern ausgenutzt wurde.
Wurde gekocht und vergessen
Aber wie so oft haben nicht nur alle (c) auf den Hype geachtet. Die meisten Unternehmen ignorierten die Bedrohung. Einige Monate später nutzten die Cybersicherheitsspezialisten Rapid7 ihr webbasiertes Project Sonar-Tool, um alle öffentlichen Exchange-Server im Internet zu ermitteln. Und die Ergebnisse waren sehr traurig.
Sie stellten fest, dass mindestens 357.629 (82,5%) der 433.464 Exchange-Server immer noch Angriffen ausgesetzt sind, die die Sicherheitsanfälligkeit CVE-2020-0688 ausnutzen.
Einige der Server, die Rapid7 als angriffsfest markiert hat, sind möglicherweise weiterhin anfällig, da der Microsoft-Patch nicht alle Betriebssystem-Builds aktualisiert hat. Aber das ist nicht alles. Die Forscher fanden heraus, dass fast 11.000 Server mit Microsoft Exchange 2007 die EoS-Software (End of Support) verwenden, mit der der Support 2017 beendet wurde, und 166.000 Server mit Microsoft Exchange 2010, mit denen der Support im Oktober 2020 beendet wird. Die Kirsche auf dem Kuchen war die Information, dass fast 31.000 Microsoft Exchange 2010-Server mit dem Internet verbunden sind, die seit 2012 nicht aktualisiert wurden, und 800 von ihnen wurden nie aktualisiert.
Wir werden später entscheiden, wer schuld ist. Was zu tun ist?
Auf gütliche Weise müssen nicht nur Patches installiert werden, sondern auch festgestellt werden, ob die Angreifer versucht haben, die Sicherheitsanfälligkeit auszunutzen. Da Angreifer dazu die Kontrolle über mindestens ein Konto übernehmen müssen, sollte jedes Konto, das mit einem Ausnutzungsversuch verbunden ist, als gehackt betrachtet werden.
Kompromittierte Benutzerkonten, die zum Angriff auf Exchange-Server verwendet wurden, können erkannt werden, indem die Windows- und IIS-Ereignisprotokolle auf verschlüsselte Nutzdaten überprüft werden, einschließlich des Textes "Ungültiger Ansichtsstatus" oder der Zeichenfolge "__VIEWSTATE" und "__VIEWSTATEGENERATOR" in Abfrageanforderungen im Pfad in das Verzeichnis / ecp.
Der einzige Ausweg, der Sinn macht, besteht darin, Patches auf Ihren Servern zu installieren, bevor Hacker sie finden und Ihr gesamtes Netzwerk vollständig gefährden. Andernfalls müssen möglicherweise alle gestohlenen Benutzerkonten und Kennwörter geändert werden.
Download-Links für Sicherheitsupdates für betroffene Versionen von Microsoft Exchange Server und verwandte Knowledge Base-Artikel finden Sie in der folgenden Tabelle:
| MS Exchange-Version | Artikel | Patch |
| Microsoft Exchange Server 2010 Service Pack 3-Aktualisierungs-Rollup 30 | 4536989 | Sicherheitsupdate |
| Kumulatives Update für Microsoft Exchange Server 2013 23 | 4536988 | Sicherheitsupdate |
| Kumulatives Microsoft Exchange Server 2016-Update 14 | 4536987 | Sicherheitsupdate |
| Kumulatives Microsoft Exchange Server 2016-Update 15 | 4536987 | Sicherheitsupdate |
| Kumulatives Update für Microsoft Exchange Server 2019 3 | 4536987 | Sicherheitsupdate |
| Kumulatives Update für Microsoft Exchange Server 2019 4 | 4536987 | Sicherheitsupdate |
Vergessen Sie nicht die Sicherheit. Der Mangel an Schutz einige Monate nach der Veröffentlichung des Patches ist äußerst traurig.
Was können Sie sonst noch im Cloud4Y- Blog lesen ?
→ Künstliche Intelligenz singt über Revolution
→ Wie ist die Geometrie des Universums?
→ Brauchen wir Wolken im Weltraum
→ Ostereier auf topografischen Karten der Schweiz
→ Gewinner des Startup-Wettbewerbs Die Europas Awards 2020
Abonnieren Sie unseren Telegrammkanal , um keinen weiteren Artikel zu verpassen. Wir schreiben nicht mehr als zweimal pro Woche und nur geschäftlich. Übrigens haben wir kürzlich ein Webinar zur Berechnung der Gesamtbetriebskosten für IT-Projekte abgehalten, in dem wir drängende Fragen beantwortet haben. Wenn Sie interessiert sind - willkommen!