{"id":251604,"date":"2021-04-01T00:13:00","date_gmt":"2021-03-31T22:13:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=251604"},"modified":"2021-04-20T09:30:23","modified_gmt":"2021-04-20T07:30:23","slug":"exchange-hack-wie-schaut-es-mit-dem-risiko-aus-was-gibt-es-neues-1-april-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/01\/exchange-hack-wie-schaut-es-mit-dem-risiko-aus-was-gibt-es-neues-1-april-2021\/","title":{"rendered":"Neues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)"},"content":{"rendered":"

[English<\/a>]Wie sieht Ende M\u00e4rz 2021 die Bedrohungslage im Hinblick auf On-Premises Exchange Server und die Ausnutzung der Anfang M\u00e4rz 2021 bekannt gewordenen Schwachstellen aus? Von Microsoft liegen Analysen vor, welche Ransomware-Gruppen auf diesem Feld ackern. Zeit f\u00fcr einen Blick auf die Risiko-Lage. Ach ja, auch wenn das Datum es suggeriert: Das hier ist kein April-Scherz, da fehlt mir momentan der Nerv.<\/p>\n

<\/p>\n

\"\"Anfang M\u00e4rz 2021 wurden Administratoren ja durch den Massenhack nicht gepatchter On-Premises Exchange Server aufgeschreckt. Ich hatte das Thema ja in diversen Blog-Beitr\u00e4gen behandelt (siehe Artikelende). Ende M\u00e4rz 2021 ist es Zeit, einen Blick auf die Sachlage zu werden. Ist die Gefahr vorbei oder lauern auch bei gepatchten Systemen Risiken.<\/p>\n

Abnehmendes Risiko?<\/h2>\n

Mein letzter Stand war, dass die Zahl der Angriffe auf ungepatchte Exchange-Systeme zur\u00fcckgegangen sei. Microsoft hatte am 22. M\u00e4rz 2021 auf Twitter<\/a> die nachfolgende \u00dcbersicht \u00fcber die Situation bei den On-Premises Exchange-Servern im Hinblick auf den Patch-Stand und die ProxyLogon-Schwachstellen ver\u00f6ffentlicht.<\/p>\n

\"92%<\/a><\/p>\n

Die Kurzfassung: 92% aller On-Premises Exchange-Server sind inzwischen gegen\u00fcber ProxyLogon gepatcht. Also zur\u00fccklehnen und alles im \"gr\u00fcnen Bereich\"? Um die 6.000 Systeme sind in Deutschland verwundbar. Gepatchte Systeme k\u00f6nnten zudem kompromittiert sein. Das BSI hat in diesem Tweet<\/a> ein Video mit einer Einstufung dieses Sachverhalts ver\u00f6ffentlicht.<\/p>\n

<\/a><\/p>\n

Die Kurzbotschaft: \u00c4hnlich wie bei der Citrix-Schwachstelle, die Anfang 2020 Wellen schlug, wird bei Exchange ein \u00e4hnliches Szenario bef\u00fcrchtet. Die verwundbaren Citrix-Systeme wurden zwar gepatcht, waren aber vielfach kompromittiert. Nach Monaten (Sommer 2020) kamen die Angreifer wieder und sind \u00fcber die implementierten Backdoors in die Systeme eingedrungen. Bei On-Premises Exchange Server-Installationen gilt daher zu \u00fcberpr\u00fcfen und zu \u00fcberwachsen, ob diese nicht doch kompromittiert sind.<\/p>\n

Die Kollegen von Bleeping Computer haben gerade den Artikel Microsoft Exchange attacks increase while WannaCry gets a restart<\/a> ver\u00f6ffentlicht, der auch keine Entwarnung gibt. Das Cybersecurity-Unternehmen Check Point hat letzte Woche einen Anstieg von Angriffen auf Microsoft Exchange-Server mit der kritischen ProxyLogon-Schwachstelle beobachtet. Als Beifang steht noch die Erkenntnis, dass die vor vier Jahren aufgetretene Bedrohung durch die WannaCry-Schadsoftware mit Wurm-Funktion, die die Eternal-Blue-Schwachstelle in Windows ausnutzt, immer noch aktiv angegriffen wird. Seit Ende 2020, Anfang 2021, findet sogar eine Zunahme der beobachteten Angriffe statt, da es wohl noch viele verwundbare Windows-Systeme gibt.<\/p>\n

Angriffe auf Exchange durch Cyber-Kriminelle<\/h2>\n

Auf das Thema bin ich \u00fcber den folgenden Tweet<\/a> der Kollegen von Bleeping Computer aufmerksam geworden. Die Angriffe der Black Kingdom-Ransomware-Gruppe werden in diesem Artikel<\/a> behandelt.<\/p>\n

<\/a><\/p>\n

Unter Berufung auf das Microsoft 365 Defender Threat Intelligence Team hei\u00dft es, dass die Angriffe der Gruppe \"sp\u00e4ter als bei einigen anderen Angreifern begannen, wobei viele Kompromittierungen zwischen dem 18. und 20. M\u00e4rz stattfanden, einem Zeitfenster, in dem weniger ungepatchte Systeme verf\u00fcgbar waren.\" Die Botschaft: Es gibt noch ungepatchte Systeme und die werden noch angegriffen. Dazu passt auch folgendes Zitat:<\/p>\n

Many of the compromised systems have not yet received a secondary action, such as human-operated ransomware attacks or data exfiltration, indicating attackers could be establishing and keeping their access for potential later actions.<\/p><\/blockquote>\n

Die Botschaft: Es ist noch nicht vorbei – da lauern m\u00f6glicherweise \"Schl\u00e4fer im Exchange-Gewand\", die nur darauf warten, aktiviert zu werden. Der Bleeping Computer-Artikel enth\u00e4lt eine Weltkarte, die die Zahl der bedrohten Exchange-Server zeigt – die USA sind Rot, Europa gelb. Im Rahmen der Recherche bin ich aber auf einen spannenderen Artikel von Microsoft gesto\u00dfen. Im Beitrag Analyzing attacks taking advantage of the Exchange Server vulnerabilities<\/a> hat das Microsoft 365 Defender Threat Intelligence Team seine Erkenntnisse ver\u00f6ffentlicht.<\/p>\n

Die \u00fcberwachen ja eine Reihe an Exchange-Instanzen und haben gesehen, welche Angreifergruppen so unterwegs sind. Im Hinblick auf die Abwehr von Bedrohungen durch gepatchte aber bereits kompromittierte Systeme enth\u00e4lt der Artikel eine Auflistung der Anzeigen f\u00fcr eine Kompromittierung durch diverse Ransomware (DoejoCrypt-Ransomware, Lemon Duck Botnet, Pydomer-Ransomware) und weitere Bedrohungen. Es wird auch skizziert, was Exchange Administratoren bei einem gepatchten System tun sollten, um eine Kompromittierung zu erkennen und Bedrohungen abzuwenden. Vielleicht einfach mal \u00fcber die Feiertage dr\u00fcber lesen.<\/p>\n

CISA gibt 5 Tage Zeit, gehackte Systeme zu finden<\/h2>\n

Die US Cybersecurity and Infrastructure Security Agency (CISA) zieht jetzt bei den Bundesbeh\u00f6rden die Daumenschrauben an. Am 31. M\u00e4rz 2021 kam diese Direktive heraus<\/a>, die Bundesbeh\u00f6rden anweist, bis zum 5. April 2021 infizierte Exchange-Server zu identifizieren und zu bereinigen.<\/p>\n

\"CISA<\/a><\/p>\n

Patch-Erfahrung aus der Praxis<\/h2>\n

Um es mit Angela Merkel zu sagen: \"Wer einen kleinen Fehler macht, kriegt ordentlich Senge\" – ich hatte ja in einem heise-Artikel mal in meinem jugendlichen \u00dcberschwang geschrieben \"Exchange Server gelten bei Administratoren als schwierig zu patchen\". Haben sich die Cracks echauffiert, dass das nur Dilettanten und Feierabend-Admins passiere. Mit gro\u00dfem Vergn\u00fcgen eine Stimme aus der Praxis (und nein, ich verordne den Admin nicht im Dilettantenstadel).\u00a0 Blog-Leser Jen H. hatte mir schon am 10. M\u00e4rz folgende Mail geschickt:<\/p>\n

Ihre Beitr\u00e4ge haben uns schon das eine oder andere Mal weitergeholfen. Vielen Dank daf\u00fcr!<\/p>\n

Etwas in Zusammenhang mit den aktuellen Exchange-Aktivit\u00e4ten und da Sie Hinweise auf Fehlerquellen in Bezug auf die Updates sammeln:
\nWir hatten leider einen kompromittierten Kunden-Server, Exchange 2016 CU18. Dem hatte ich noch am Abend des 3. M\u00e4rz das passende Sicherheitsupdate verpasst, der Server war da leider bereits schon angegriffen worden. Das tut aber f\u00fcr das Folgende vermutlich nichts zur Sache:<\/p>\n

Ich habe dann, nachdem wir den Server untersucht und nach bestem Wissen und Gewissen ges\u00e4ubert hatten (immer wieder die aktualisierten Hinweise gepr\u00fcft\/ auch in den Folgetagen und den https-Port dicht gemacht), gestern Abend den Exchange noch auf CU19 aktualisieren wollen. Das hatte auch soweit geklappt, Unified Messaging wieder deaktiviert und neu gestartet. System lief nach Neustart, Virenscanner (Defender) noch deaktiviert, da ich danach noch einmal den passenden Securitypatch f\u00fcr CU19 aufspielen wollte.<\/p>\n

Das ging leider schief: Das Update begann, die Dienste wurden gro\u00dffl\u00e4chig deaktiviert und mittendrin die Fehlermeldung, dass das Update abgebrochen h\u00e4tte (\u201eprematurely ended\", mit Fehler 1603). Auch ein neuer Versuch brachte keinen Erfolg, der Exchange war \u201etot\". Da es schon 2.00 Uhr nachts war, habe ich mich entschieden, den (virtuellen) Server herunterzufahren, eine Imagesicherung der Festplatten einzuspielen und damit das System zun\u00e4chst weiter zu betreiben, bis ich Klarheit habe, ob der erneute Patch \u00fcberhaupt notwendig ist oder ob der nicht mehr gebraucht wird (was ich eigentlich nicht glaube, da der CU19 ja ein neu installierter Exchange ist).<\/p>\n

Was mich noch \u00fcberrascht hat: Der Exchange soll jetzt ein CU19 sein laut Build-Nummer, das ist er aber definitiv nicht \u2013 vermutlich steht das irgendwo im AD. Hier fehlt mir das Wissen.<\/p><\/blockquote>\n

Die besten Geschichten schreibt immer noch die Praxis. Erg\u00e4nzung: In den USA hat das Justizministerium eine gerichtliche Genehmigung, um die Infektionen der Exchange-Server durch das FBI entfernen zu k\u00f6nnen, auf den Weg gebracht (siehe hier<\/a> und hier<\/a>).<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nExchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a>
\nWichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nExchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nNeues zum Exchange-Hack \u2013 Testtools von Microsoft & Co.<\/a>
\nMicrosoft MSERT hilft bei Exchange-Server-Scans<\/a>
\nExchange-Hack: Neue Patches und neue Erkenntnisse<\/a>
\nAnatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a>
\nExchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a>
\nNeues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)<\/a>
\nGab es beim Exchange-Massenhack ein Leck bei Microsoft?<\/a>
\nProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a>
\nMicrosoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben<\/a>
\nSicherheitsupdate f\u00fcr Exchange Server 2013 Service Pack 1 \u2013 Neue CUs f\u00fcr Exchange 2019 und 2016 (16.3.2021)<\/a>
\nMicrosoft Defender schlie\u00dft automatisch CVE-2021-26855 auf Exchange Server<\/a>
\nExchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Wie sieht Ende M\u00e4rz 2021 die Bedrohungslage im Hinblick auf On-Premises Exchange Server und die Ausnutzung der Anfang M\u00e4rz 2021 bekannt gewordenen Schwachstellen aus? Von Microsoft liegen Analysen vor, welche Ransomware-Gruppen auf diesem Feld ackern. Zeit f\u00fcr einen Blick auf … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5359,4328],"class_list":["post-251604","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251604","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=251604"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251604\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=251604"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=251604"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=251604"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}