Hätte der Massenhack von Microsofts Exchange Server-Installationen über die ProxyLogon-Schwachstelle durch die Hafnium-Hackergruppe verhindert werden können? Entgegen den Aussagen "die Admins haben beim patchen gepennt" gibt es einige Aspekte, die Fragen aufwerfen. Ich habe da mal ein wenig aufgeschrieben, was "hinter dem Vorhang" ablief. Ergänzung: Microsoft hat mir geantwortet, so dass es einige logische Erklärungen auf manche Fragen aus dem Artikel gibt.
Anzeige
Kleiner Rückblick
Zum 3. März 2021 (2.3. in den USA) veröffentlichte Microsoft ja einen außerplanmäßigen Patch für Microsoft Exchange Server (2010 bis 2019), um vier 0-Day-Schwachstellen zu schließen. Gleichzeitig gab es eine Warnung, nun zeitnah zu patchen, da vereinzelte Angriffe auf ausgesuchte Ziele bemerkt worden seien. Ich hatte im Blog-Beitrag Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen! darüber berichtet. Zu diesem Zeitpunkt klang das nicht wirklich dramatisch, sondern ok, haltet euch mit dem Patchen ran, dann läuft es.
Zwei Tage später wurde klar, dass es einen Massenhack auf ungepatchte Exchange Server durch die mutmaßlich chinesische Hafnium-Hackergruppe gab. Ich hatte hier im Blog ja zeitnah Hinweise des BSI sowie Informationen zum Thema gepostet (siehe Links am Artikelende). Dieser Massenhack schickt momentan ja Schockwellen durch das Microsoft Universum. Viele Administratoren und auch Microsoft scheinen auf dem falschen Fuß erwischt worden zu sein. Noch scheint das Ende der Fahnenstange nicht erreicht.
Hinter den Vorhang geblickt
In Foren habe ich jetzt häufiger den Kommentar "selbst schuld, wenn ihr Administratoren nicht fix patcht" gelesen – schimmerte auch hier im Blog in Kommentaren durch. Ich hatte teilweise auch kurz geantwortet – aber jetzt mal ein ergänzender kleiner Informationssplitter für Leute mit etwas Lesezeit. Von heise bin ich gebeten worden, ob ich nicht mal was zum Ablauf der Geschichte schreiben könne.
Im Beitrag Der Hafnium Exchange-Server-Hack: Anatomie einer Katastrophe habe ich mal den zeitlichen Ablauf sowie die Schwierigkeiten der patchenden Administratoren beleuchtet. Ist zwar nicht ganz mein Rohtext, der in die Redaktion rein ging, aber das Ergebnis spiegelt die zu transportierenden Botschaften. Der Hack war absehbar, denn Microsoft gibt zwar seit Exchange Server 2013 vierteljährlich kumulative Updates zum Abdichten von Sicherheitslücken heraus. Aber Exchange Server gelten (nach meiner Wahrnehmung) aber im Hinblick auf Patches unter Administratoren als "rohes Ei".
Anzeige
Die Installation der kumulativen Exchange-Update (CUs) ist sperrig, es kann nur das letzte kumulative Update mit Updates versorgt werden – und allzu häufig kam es in der Vergangenheit zu Problemen und Fehlfunktionen im Zusammenhang mit Updates. Im aktuellen Fall hat Microsoft erst im Nachhinein Patches für ältere CUs freigegeben – und auch der im Blog-Beitrag Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021) thematisierte Patch-Hinweis Microsofts kam nach meiner Beobachtung erst im Nachgang. Einige Admins waren da schon in die Falle gerauscht (siehe Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)).
Die Rolle Microsofts
Schaue ich mit ältere Blog-Beiträge wie BSI-Warnung: Im Okt. 2020 noch 40.000 ungepatchte Exchange-Server in Betrieb an, war hier klar, irgendwann knallt es, die Frage ich nicht ob, sondern wann. Das ist jetzt passiert – und in diesem Kontext ist interessant, die Anatomie der Sicherheitslücken und des Patch-Rollouts anzusehen. Es war mal kurz hier im Blog als Kommentar angerissen und ich hatte was im Beitrag Exchange-Hack: Neue Patches und neue Erkenntnisse geschrieben.
Aber erst über die Recherche für meinen, die Nacht erschienenen, heise-Beitrag Der Hafnium Exchange-Server-Hack: Anatomie einer Katastrophe wurde mir klar, dass zumindest ein fauler Apfel bei Microsoft im Korb liegt. Man kann darüber streiten, ob Microsoft (auch angesichts Corona) nicht schneller reagieren konnte oder hätte müssen. Aber für mich stellen sich Fragen über Fragen:
- Wenn die Angriffsmethode zum Umgehen einer Authentifizierung von externen Sicherheitsforschern 2019 beschrieben wird, die sich im Oktober 2020 Exchange wegen der starken Verbreitung vornehmen und im Dezember 2020 fündig werden, warum passiert das nicht bei Microsoft? Keinen Plan? Zu doof dazu? Keine Zeit? Oder keine Lust, läuft ja auch so?
- Wenn Sicherheitsforscher von DEVCORE am 5. Januar 2021 ein Proof of Concept (PoC) melden, und externe Volexity-Sicherheitsforscher am 6. Januar 2021 Angriffe beobachten, und Ende Januar 2021 explizite Meldungen über Angriffe erfolgen, und ein Trend Micro Blog-Beitrag über Angriffe mit einer injizierten Web Shell berichtet, wo bleibt Microsoft (da brennt doch die Hütte)?
- Da Microsoft ja alles mit Telemetrie verwanzt, und große Kunden wohl auch dieses Microsoft Defender ATP-Dingens einsetzen (ich höre noch den Tenor eines MS-Beraters "dafür setzt man ja auf Defender ATP"), was ja alles erkennt, wieso schreibt Microsoft am 2./3. März 2021 bei Freigabe des Patches über "vereinzelte Angriffe auf ausgesuchte Ziele"? Erste Massenscans mit Angriffen waren am 26./27. Februar zu beobachten. Sind die viel gelobten Werkzeuge Microsofts schlicht für solche Angriffe blind (ähnlich wie EINSTEIN beim SolarWinds-Hack)?
Mein Bauchgefühl: Da gab es eine fatale Kette von Fehleinschätzungen und Business as usual bei Microsoft. Ich denke, Microsoft muss an manchen Stellen, auch angesichts der Vielzahl der Ereignisse Meldungen und Handlungen kanalisieren. Aber wenn was brennt, muss das sofort erkannt und die Löschkette aktiviert werden. Wenn ich mir die von den DEVCORE-Sicherheitsforschern veröffentliche Timeline anschaue und an einige Mails von Sicherheitsforscher an das MSRC denke (manchmal lande ich auf cc), gibt es da ein Déjà-vu.
Ich denke, die Fragen sollten sich sowohl auf Seiten von Microsoft, auf Seiten der vielen Microsoft Berater und vor allem auf Seiten der Anwenderschaft gestellt werden. An letzter Stelle noch eine Bemerkung: Ihr habt euch in den letzten Jahren "ein Biest heran gezüchtet", welches jetzt ausbricht und unkontrolliert über den Hof rast. Schaut mal, wie ihr das eingefangen und in den Stall eingehegt kriegt. Ich plädiere ja für die pragmatische Lösung "abschießen, bevor noch größerer Schaden entsteht" – mit grammm gibt es sogar einen Exchange-Ersatz für Linux, habe ich gelesen. Ich glaube, man springt zu kurz, solche Fragen, wie bisher, als Microsoft-Bashing abzutun. Als glücklicherweise stehe ich ja nicht in der Entscheidungskette unserer IT-Strategen.
Ergänzungen zum Thema
nsbesondere auf meinen oben erwähnten heise-Beitrag Der Hafnium Exchange-Server-Hack: Anatomie einer Katastrophe gab es einiges an Feedback (von massiver Kritik im Tenor "bei uns läuft alles ohne Probleme" über "Dumpfback" bis zu "kann ich voll unterschreiben" war alles dabei). Und es gab für mich interessante Insights von Praktikern, die ich noch sortiere, deren Infos für mich aber ein Bild in Sachen "Exchange ist schwierig zu patchen" vervollständigen.
Microsoft nimmt Stellung
Zudem hat sich Microsoft Deutschland direkt bei mir mit Anmerkungen zum heise-Artikel gemeldet. Interessant ist dabei, dass es direkt die von mir oben aufgeworfenen Fragen, warum Telemetrie und Defender ATP da nicht Alarm auslösten, beantwortet. Ich stelle diese Hinweise daher auch hier im Blog als Ergänzung ein.
Zur Telemetrie schrieb mir Microsoft Pressesprecherin Irene Nadler "Die Schwachstellen betreffen Microsoft Exchange Server 2010, 2013, 2016 und 2019, die On-Premises laufen. Im Gegensatz zu den Cloud-Diensten ist es Microsoft bei On-Premises-Infrastrukturen weder möglich Telemetriedaten zu erheben noch diese zentral zu aktualisieren."
Einen Punkt, den ich auch nicht komplett bedacht hatte, betrifft die Microsoft Defender ATP-Problematik. Es war mit beim Schreiben des Artikels bewusst, dass der Microsoft Defender für Endpunkt, wie das Produkt inzwischen heißt, kostenpflichtig ist. Im Hinterkopf hatte ich aber, dass viele Kunden das im Rahmen von irgendwelchen Microsoft 365-Plänen eh im Portfolio haben. Microsoft wies mich aber darauf hin, dass Microsoft seinen Kunden zwar zusätzliche Sicherheitsmaßnahmen anbietet, um ihre Systeme zu schützen. Die Plattform "Microsoft Defender für Endpunkt" für die Prävention, Erkennung stattgefundener Angriffe, automatisierte Untersuchung und Reaktion auf Angriffe ist jedoch nicht standardmäßig in Microsoft-Produkte integriert, sondern muss als kostenpflichtiges Produkt von Kunden bezogen werden.
Noch eine Rückmeldung aus der Praxis
Es deutet sich also an, dass viele Kunden diese ATP-Lösung Microsofts nicht einsetzen (von einem Blog-Leser habe ich die Rückmeldung, dass die Defender für Endpunkt-Lizenz mit 15 Euro/Monat schon ins Geld gehen kann).
Und noch was interessantes kam von diesem Leser, der als Feuerwehr wohl die Tage einige Exchange-Installationen in den Fingern hatte. Ihm ist aufgefallen, dass dort der Microsoft Defender auf den Systemen deaktiviert war. Microsoft hat dort aber die Scan-Engine so aktualisiert, dass diese die Hafnium-Schadsoftware erkennen sollte. Auf die Frage, warum die Administratoren den Defender abschalten, fiel mir dann die im Artikel Windows Server 2019 und Defender-Performance-Probleme aufgeworfene Problematik ein.
Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren
Anzeige
Nanu? Zwei verschiedene Überschriften, der selbe Text?
Mein Fehler – da ist ein Artikeln noch nicht geschrieben – beim Caching des Blogs hakelt es, und ich habe wohl den falschen Knopf erwischt …
Moin.
"Der Hack war absehbar, denn Microsoft gibt zwar seit Exchange Server 2013 vierteljährlich kumulative Updates zum Abdichten von Sicherheitslücken heraus. Aber Exchange Server gelten (nach meiner Wahrnehmung) aber im Hinblick auf Patches unter Administratoren als „rohes Ei".
Die Installation der kumulativen Exchange-Update (CUs) ist sperrig, es kann nur das letzte kumulative Update mit Updates versorgt werden – und allzu häufig kam es in der Vergangenheit zu Problemen und Fehlfunktionen im Zusammenhang mit Updates. "
Also… ich hatte noch nie Probleme mit Exchange-Patching in 14 Jahren, aber was heißt das schon. Darf ich dennoch fragen, wie Du zu den Aussagen kommst, von wegen "sperrig", "allzu häufig Probleme" und "rohes Ei"? Gibt es dahinter bei Dir wirklich mehr als nur vom Hörensagen Wahrgenommenes, also Statistiken/Umfragen?
Nochmal zurück zu den CUs. Diese erscheinen viermal im Jahr, soweit richtig. Sicherheitsupdates erscheinen aber separat davon, also ggf. weitaus häufiger (Und um diese zu installieren muss nicht das letzte CU drauf sein, sondern es reicht, das letzte oder das vorletzte zu haben; somit müssen CUs mindestens 2x, und nicht 4x im Jahr draufgebügelt werden). Deren Installation ist nicht sperrig, sondern so einfach, wie es nur sein kann (Setup starten, nichts konfigurieren, 30 Minuten warten, fertig).
Nun zum eigentlichen Kern: Microsoft hat auf Warnungen zu spät reagiert. Ja, das kann ich mir vorstellen. Schuld hat dennoch eher der, der seinen Exchange aus dem Internet erreichbar macht, ohne ein VPN drumzubauen. Solche Firmen haben dann meist auch ganz andere Sorgen.
Ich beziehe mich auf das, was ich in Foren lesen. Es gibt die Fraktion der "ich hatte noch nie Probleme" – und es gibt die Leute die mit "das ist mir beim Update passiert", warum auch immer, aufschlagen. Einige dieser Trouble-Beiträge stecken hier ja im Blog.
Wenn ich dann von Microsoft einen Hinweis zum 4.3. nachschieben muss, dass die manuelle Installation per Doppelklick oder wegen deaktivierter UAC schief gehen kann und der Patch wirkungslos bleibt – und wenn die CUs immer das letzte CU voraussetzen – dann ziehe ich in meiner (zugegebenermaßen naiven Art) genau diesen Schluss. Sieh es mir nach – und wenn ihr das als Polemik deutet, ich kann mit leben.
"und wenn die CUs immer das letzte CU voraussetzen – dann…" – nein, das tun sie doch gerade nicht. Das habe ich doch aufkären wollen. Sicherheitsupdates setzen nicht das letzte "CU" (besser: "quarterly update", "QU") voraus, sondern es reicht auch das vorletzte. Da der Rest der QUs gar nicht supportet ist (nicht nur wegen Sicherheitsupdates), kannst Du dir schon vorstellen, was das für Ahnungslose sind, die da mit Updating hinterherhinken.
Zitat:
"Ihr habt euch in den letzten Jahren „ein Biest heran gezüchtet", welches jetzt ausbricht und unkontrolliert über den Hof rast. Schaut mal, wie ihr das eingefangen und in den Stall eingehegt kriegt."
Sehe ich genau so: Exchange ist mit mit den Jahren nicht nur leistungsfähiger, sondern leider auch leistungshungriger, im größer und schwerfälliger geworden.
Der Einsatz unterschiedlichster Softwaretechnologien wie C++, C##, .Net, IIS-Funktionialitäten u.v.a.m. etc. machen es echt zu einem Biest, zu einem Softwaremonster, das keiner, auch Microsoft nicht (mehr) im Griff hat.
Die mit den Patchdays einhergehenden nicht mehr funktioniell/sicherheitstechnisch prüfbaren Softwarekonstellationen (OS-"Core", .Net, IIS und all den "viel gepriesenen" Software-Technologien) und Exchange oben auf machen es m.E. inzwischen zu einem Super-Gau. Microsoft! DAS IST DER FALSCHE WEG!
Mal ehrlich? Ich habe Exchange eine Weile administriert und bin heilfroh, das ich das Monster nicht mehr handlen muss (Ist schon ein paar Jährchen her).
Und zum Glück muss ich nicht den Kopf hinhalten vor meinem Chef …
Was etwas kurz kommt – wenn man die genannten Security Blogs zur timetable liest:
Die Angriffe begannen just, als DEVCORE das Problem an MS meldet. Zufall? Oder hat hier jemand gelauscht und losgelegt?
Es gab einen Tweet des taiwanesischen Sicherheitsforschers – aber in ganz allgemeiner Form und ohne Hinweis auf Exchange am 5. oder 6. Januar 2021. Man kann spekulieren: Entweder der wurde beobachtet – oder die Hafnium-Leute haben was gerochen.
Ein Schelm wer Böses denkt!
Wo will denn Microsoft hin – natürlich zu Microsoft 365
Exchange-Online war ja deshalb auch nicht betroffen.
Also lasst das doch alles uns machen, dann seit ihr auf der sicheren Seite!
Hallo,
ich sehe das ähnlich wie Lothar:
Micorosoft:
"Mit O365 wäre Ihnen das nicht passiert – Exchange onPrem ist viel zu kompliziert für den KMU Kunden – migrieren sie doch endlich"
Hier wurde eine schon länger bekannte Schwachstelle so lange von MS verheimlicht, bis es zu spät war.
Was allerdings stimmt: Ein direktes Veröffentlichen der Exchange Dienste per DNAT ins Internet ist einfach nicht empfehlenswert.
Wir haben diverse Exchange Umgebungen nach dem Update analysiert – 3 Kundenumgebungen hatten eine Webshell und alle 3 hatten keinen Web Application Proxy dazwischen geschaltet. Ein richtig konfigurierter WAP ist natürlich auch kein 100%er Schutz, aber erhöht die Sicherheit massiv.
Grüße Boris
Ich würde ein Schritt weiter gehen und sagen O365 war auch betroffen und MS benötigte die 1 Monat Zeit um alles intern zu patchen und anschliessend Werbung zu machen mit "unsere Cloud ist nicht betroffen, wechselt doch zur Cloud"
Ich weiss nicht wann, aber in abschätzbarer Zeit wird die Cloud (hoffentlich) in die luft fliegen. Wie ich das nicht funktionierende O365 Geschwafel hasse.
Das BSI will zum Exchange-Hack gleich um 15:30 Uhr im Livestream Fragen beantworten:
https://www.heise.de/news/Livestream-zum-Exchange-Hack-BSI-beantwortet-Fragen-ab-15-30-Uhr-5078002.html