Sicherheitslücke Zero Day Exchange vom 3. März 2021

Unabhängig davon, ob Sie bereits Kyos-Kunde sind, bieten wir Ihnen in Anbetracht der Kritikalität dieser Schwachstelle eine kostenlose Erstuntersuchung Ihres Exchange-Servers an, um festzustellen, ob er noch verwundbar ist, sowie um zu ermitteln, ob mögliche Angriffe stattgefunden haben, was, wie wir wissen, sehr wahrscheinlich ist. Obwohl Kyos Exchange-Server nicht betroffen sind, sind 50 % unserer Kunden mit On-Premise-Exchange-Servern davon betroffen.

 

Welche technische Schwachstelle wurde ausgenutzt?

Am Dienstagabend, den 2. März 2021, gab Microsoft vier Sicherheitslücken im Microsoft Exchange Messaging-System bekannt: CVE-2021-26855CVE-2021-26857CVE-2021-26858 und CVE-2021-27065.

Diese Schwachstellen ermöglichen es Angreifern, ohne Authentifizierung Zugriff auf den Exchange-Server zu erlangen, wodurch Schadcode gestartet werden kann, um Informationen abzurufen oder möglicherweise ein Programm zu installieren, das einen späteren Zugriff auf den Server ermöglicht.

Wie haben wir die Patches bei unseren Kunden implementiert?

Microsoft hat sofort einen Patch vorbereitet, der auf den von der Schwachstelle betroffenen Servern installiert werden soll. Dieses Update wurde sofort am Mittwochnachmittag von unseren technischen Teams getestet, um die Risiken auf den Infrastrukturen unserer Kunden zu antizipieren, und wurde dann auf den Servern von etwa zehn unserer betroffenen Kunden installiert.

Warum ist es notwendig, mögliche Angriffe zu untersuchen?

Am Mittwochabend waren fast alle Server unserer Kunden geschützt, aber es war trotzdem wichtig zu wissen, ob sie von Angriffen betroffen waren, die sie hätten kompromittieren können. Zu diesem Zweck hat Microsoft ein Programm veröffentlicht, das Indikatoren für Angriffe und Kompromittierungen liefert. Wir haben dieses Untersuchungsprogramm auf allen Exchange-Servern durchgeführt: 7 von 13 Servern unseres verwalteten Parks wurden als potentiell angegriffen und damit potentiell kompromittiert identifiziert. Die manuelle Untersuchung, die wir ab Donnerstagabend durchführen werden, wird bestätigen, dass alle 7 Server angegriffen wurden.

Die blitzartige Geschwindigkeit des Angriffs lässt sich daran erkennen, dass die Angriffe bereits am frühen Mittwochmorgen begannen, dem Tag, an dem wir über die offiziellen Kommunikationskanäle von Microsoft auf die Sicherheitslücke aufmerksam wurden.

Eine nachgewiesene Kompromittierung findet sich auf zwei Servern, und auf den fünf anderen Servern fanden wir Hinweise auf die Ausnutzung der Sicherheitslücke (POST /ecp/y.jc wie oben dargestellt, dessen Code “200” die erfolgreiche Codeausführung bestätigt).

Wir haben uns entschieden, die Server, die diese Anzeichen zeigen, als kompromittiert zu betrachten, da es nicht möglich ist zu beweisen, was der Angreifer ausgeführt hat.

Wir haben uns daher sofort für das weitere Vorgehen entschieden: Der Austausch von Exchange-Servern, die diesen Nachweis der Code-Ausführung erbringen, ist notwendig, um jedes Sicherheitsrisiko im Zusammenhang mit der möglichen Installation einer Backdoor zu vermeiden. Zum Zeitpunkt des Schreibens ist diese Arbeit in Arbeit.

Was sind die Auswirkungen für Sie, insbesondere in Bezug auf Datenlecks?

Alle von uns bisher durchgeführten Untersuchungen zeigen drei wesentliche Informationen:

  • Es wurde eine Suche nach primären Datenlecks auf Servern mit einer bekannten Kompromittierung durchgeführt, und bei den durchgeführten Untersuchungen wurden keine Spuren von Informationslecks gefunden. Eine weitergehende zusätzliche Untersuchung wird empfohlen, um das Datenleck auf Ihrem Server zu validieren.
  • Die Untersuchungen, die wir auf dem Server von Kyos durchgeführt haben, zeigen, dass unser E-Mail-System nicht angegriffen oder kompromittiert wurde, so dass wir feststellen können, dass kein Datenleck aufgetreten ist.
  • Alle bisher untersuchten Angriffsszenarien deuten darauf hin, dass die Kompromittierung lokal auf dem Exchange-Server stattfindet und schließen eine größere Kompromittierung (z. B. auf anderen Servern, die innerhalb der Organisation andere Aufgaben erfüllen) aus.

Unsere Systemberater und unser Sicherheitsprüfungsteam bleiben in Alarmbereitschaft. Unsere obige Position wird in den kommenden Tagen während der nächsten Untersuchung und auf der Grundlage der von Microsoft erhaltenen Informationen neu bewertet, dieser Artikel wird aktualisiert, sobald wir weitere Entdeckungen machen.

Was können Sie tun?

Wenn Sie dies noch nicht getan haben, sollten Sie den Patch dringend auf Ihrem Exchange-Server installieren:
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b

Wenn dies nicht möglich ist (z. B. kumulatives Update zu alt), wird dringend empfohlen, die externen Zugriffe auf den Mailserver zu schließen, wenn möglich.

Während der manuellen Untersuchungen begrenzten wir die Risiken auch, indem wir die ein- und ausgehenden Ströme von und zu allen IP-Adressen der Angreifer schlossen, um potenzielle Wechselwirkungen zu verhindern, die beim Einsatz einer Backdoor auftreten könnten. Selbst wenn diese Maßnahme von Angreifern umgangen werden kann, kann sie eine entmutigende Wirkung haben, indem Sie Zeit sparen und sie auf andere Ziele lenken.

 

Kontaktieren Sie uns unter helpdesk@kyos.ch oder 022 734 78 88, wenn Sie eine Untersuchung wünschen oder weitere Informationen über diese Schwachstellen erhalten möchten.