Blog

Blog 2: aktueller Exchange Hack »Hafnium«


Überblick:

»Hafnium« ist eine staatsnahe Hackergruppe aus China.

Microsoft macht diese Gruppe für die Nutzung der Schwachstellen verantwortlich.

Das ist jedoch die alleinige Meinung von Microsoft.


Aktualität:
Die Schwachstelle war schon im Dezember bekannt. Im Januar kamen die ersten Informationen über gezielte Angriffe. Im Februar berichtete TrendMicro von der Schwachstelle, einer Schwachstelle mittels derer der Angreifer eine Webshell als Hintertür installieren konnte. Microsoft hat ein außerplanmäßiges Sicherheitsupdate veröffentlicht und die Bedrohung der Schwachstellen als »
gering« priorisiert – vorerst.


»Code red« wäre jetzt nötig gewesen, stattdessen hat Microsoft erst am 3. März ein Sicherheitsupdate frei gegeben, das nur dann funktioniert, wenn Sie als Administrator angemeldet sind. Das eigentliche Problem war aber, dass Sie ein ungeprüftes Patch einspielen mussten...


Dazu nun meine (rhetorische) Frage aus der Praxis: Sie sollen als Exchange Administrator ein Update durchführen, das zugrundeliegende Problem wurde jedoch vorher als »gering« eingestuft. (Wann) werden Sie dieses Update installieren? Noch dazu, wenn der Patch ungeprüft ist?


Status quo:
Das BSI hat die Schwachstelle jetzt als »rot« definiert. Die ganze IT Welt steht Kopf. Eines noch: Microsoft »
advanced thread protection« hat leider diese Angriffe nicht erkannt.


Was ist passiert?


Seit Dezember ist die Schwachstelle bekannt, über die mittels einer Webshell via 443 auf den Server zugegriffen werden kann. Dabei wird eine aktive Verbindung genutzt. Genau wie bei den RDP Hacks.

Der Angreifer kann den Server nun übernehmen und alles, wirklich alles (!), das sich auf dem System befindet, lesen und ändern.


Das ist nun nicht nur ein kleiner Hack, wo einmalig Daten abgegriffen werden konnten. Die Hacker haben sich Hintertüren eingebaut. Aber welche? Wo?


Was hätte schützen können:


  1. Kein Exchange einsetzen.

  2. Wenn schon Exchange, dann ein paar Grundregeln im Netzwerkzugriff einhalten (hinter der Firewall fühlt sich der Server besser).

  3. Zugriffe nur via VPN, SSL und nur von bekannten IP Adressen der Provider.

  4. Kein (s)http-Zugriff direkt auf den Server, also auch kein OWA.

  5. Googeln Sie mal nach »hacking owa«. Ungefähr 1.090.000 Ergebnisse (0,47 Sekunden) 

  6. alle Patches einspielen, immer und immer sofort….und beten...

  7. Alle Sicherheitseinstellungen durchführen (gut, dann geht der Rechner zwar nicht mehr, ist aber sicherer).




Welcher Schutz aber war und ist wirksam?


Der Angriff läuft wie folgt: Der Hacker muss eine 443 Verbindung zum Exchange Server aufbauen (können). Das kann er aber nicht, wenn der Exchange Server hinter der Firewall in der DMZ ist und nur via 25 mit seinem »trusted« Server Ihres Providers spricht, bzw. hätte sprechen sollen.


Aber wie läuft OWA? Outlook Webaccess via https.

Hatte ich Ihnen nicht vor Jahren bereits gesagt, dass diese Lösung nicht die beste sei und raus muss?


Bitte entschuldigen Sie, dass ich nun sage: „Habe ich doch gesagt“, aber es tut so gut. ;-).


Also schnell alle Verbindungen in eine VPN Verbindung einpacken und dann nachdenken.


Bedeutung des Angriffes: »Code red« bedeutet, dass Sie wirklich arbeiten müssen:


- Testen, ob Sie angegriffen wurden? Ja, sehr wichtig!

- Können Sie das wirklich sicher aussagen?

- Neue Accounts?

- Oder einfach nur den Sicherheitspatches von Microsoft vertrauen?

- Oder doch besser Neuinstallation?

- Und: Welches Backup ist sauber?


Spätestens jetzt sollten Sie den Support einschalten.


Fazit: Alle benutzen Microsoft. Auch die Hacker – logisch.

Warum sollen sie auch Produkte hacken, die nicht oft genutzt werden?


Das Produkt Exchange-Server ist extrem groß, umfangreich, fehlerhaft und extrem aufwendig in der Administration. Nicht jedes kleines Netzwerk braucht einen eigenen Exchange Server, wenn es überhaupt Exchange braucht. Nur weil Microsoft drauf steht, müssen Sie es nicht einsetzen (eher im Gegenteil).


Es gibt wunderbare Alternativen: Freeware auf Linux ist leider nichts für Administratoren, die keinerlei Linux Kenntnisse haben. Aber es gibt Freeware auch auf Windows oder in der Cloud. Oder für die alten Hasen, die mit Novell im PC Netzwerk groß geworden sind, Grouwise von ehemals Novell, nun Microfocus. Die bieten übrigens auch andere gute Alternativen an.


Kommentar des Autors:
Wer ich bin und was ich so mache, wissen Sie bereits.

Googeln Sie einfach »PKA, Peter Kaemper«.


Dies ist bereits mein zweiter Blog.

Leider war das feedback aus dem ersten Blog sehr übersichtlich.


Ich werde demnächst eine Liste aller Themen, über die ich schreiben möchte, veröffentlichen und hoffe auf rege Beteiligung!


Sie wollen mehr? Dann können Sie sich auch unten im Mailverteiler eintragen. Dies ist kein Exchange Server.


Lg Peter Kämper