Maßnahmen gegen Exchange Server Angriff: Was Sie jetzt tun müssen

Über die betroffenen Systeme und die schwerwiegenden Folgen eines Angriffs über die Sicherheitslücken in Microsoft Exchange Server haben wir im letzten Beitrag aufgeklärt. Nun geht es um konkrete Maßnahmen und Handlungsempfehlungen, die sie jetzt umgehend einleiten sollten.

Bei Bedarf sprechen Sie uns gerne dazu an. Unsere Experten gehen mit Ihnen ins Detail, um Ihre Exchange Umgebung wieder sicher zu machen. Füllen Sie dafür unser Kontaktformular unten dieser Seite aus. Wir melden uns bei Ihnen.

Was ist zu tun?

Sollte Ihre Einrichtung über betroffene Microsoft Exchange Server Systeme verfügen, gilt es unverzüglich zu handeln. Wir geben mit den folgenden Punkten ein Erste-Hilfe-Paket mit an die Hand, um sich der Bewältigung des Vorfalls anzunehmen. Generell empfehlen wir zusätzlich Sicherheitsexperten zu konsultieren. Sollte Ihre Einrichtung zu kritischen Infrastrukturen gehören, bietet das BSI direkt Hilfeleistungen an.

Allgemein

• Meldepflichten beachten: Allgemein sind die entsprechenden Meldepflichten einzuhalten. Für alle Unternehmen beispielsweise gilt, bei Hinweisen auf Datenabfluss oder bei Funden von Kompromittierungen und DSGVO-Verstößen den Datenschutzbeauftragten zu konsultieren. Falls hier Unklarheit herrscht, können auch externe Datenschutzbeauftragte und -berater hinzugezogen werden
• Strafanzeige stellen: Bei Kompromittierung empfiehlt das BSI, Strafanzeige zu stellen. Unternehmen finden beim LKA zentrale Ansprechstellen bezüglich Cybercrime für die Wirtschaft

Handlungsempfehlung

Das Microsoft Exchange Server-Team hat einen Blogbeitrag zu diesen neuen Sicherheitsupdates veröffentlicht, in dem ein Skript zur Verfügung gestellt wird, das eine schnelle Bestandsaufnahme des Patch-Status von lokalen Exchange-Servern ermöglicht und einige grundlegende Fragen zur Installation dieser Patches beantwortet. Generell empfehlen wir folgendes Vorgehen:

• Patchen oder Abschalten: Prüfen Sie, ob für Ihre Exchange Server Version ein Patch von Microsoft verfügbar ist. Jetzt muss unverzüglich gehandelt werden. Da Microsoft einen Emergency Patch für sämtliche (sogar End-of-Lifecycle-Systeme) publiziert hat, ist die Schwachstelle nun bekannt. Es existieren öffentliche Exploits, mit denen die Schwachstelle sehr schnell ausgenutzt werden kann, und ihr Server übernommen werden kann. Dadurch ist die Wahrscheinlichkeit einer Übernahme Ihres Servers seit dem MS Patchday enorm gestiegen.
  Wir empfehlen, umgehend zu patchen. Sollte für Ihr System kein Sicherheitsupdate verfügbar sein, sollte das System unverzüglich abgeschaltet und auf eine neue Exchange Version migriert werden. Sollten ein Sicherheitsupdate für Sie nicht infrage kommen, können bestimmte Techniken implementiert werden, die die Schwachstelle ebenfalls verhindern. Details dazu sind im Microsoft Security Response Center Blog veröffentlicht. Diese empfehlen wir jedoch nur als letztes Mittel der Wahl.
• Kompromittierung annehmen: Selbst nach zeitnaher Installation der Patches sollten Sie davon ausgehen, dass Ihre Systeme kompromittiert sind und dementsprechend handeln. Wichtig: Wenn ein Angreifer die Schwachstelle in Ihrem System ausgenutzt hat und eine Backdoor (z.B. Webshell) installiert hat, ist diese Backdoor selbst nach dem Patchen noch erreichbar und aktiv. Das bedeutet, ein Angreifer hat weiterhin Zugang zu Ihren E-Mails, Daten oder internen Netzwerk.
• Indikatoren einer Kompromittierung (IOC) erkennen:
  • Auf GitHub hat Microsoft Skripte bereitgestellt, um:
    • zu überprüfen, ob Ihr Exchange Server aktuell verwundbar ist
    • Mitigations gegen die Schwachstellen in Ihr System einzuspielen, sollte sich Ihr Patchvorgang verzögern
    • gängige verwendete Schadsoftware (wie z.B. Webshells) auf Ihrem Exchange Server zu erkennen
    • gängige verwendete SSRF Pattern zu verhindern

• Schadsoftware entfernen: Wir empfehlen, umgehend sämtlichen erkannten Schadcode zu entfernen, bevor Sie Ihr System wieder in Betrieb nehmen. Nach Möglichkeit empfehlen wir eine Neuinstallation und Migration der Daten.
• Zugriff auf Exchange Limitieren: Um eine weitere potentielle Fernsteuerung des Systems zu verhindern (z.B. durch übersehene Webshells), empfehlen wir, den Zugriff auf den Microsoft Exchange Server strengstens zu limitieren, auf unmittelbar benötigte Ports und Funktionalitäten. Dies kann durch einen Reverse Proxy und / oder eine Web Application Firewall erreicht werden. Dadurch ist es zusätzlich möglich, Angriffe, schon bevor Sie das eigentliche System (den MS Exchange Server) erreichen, einzudämmen.
• Forensische Maßnahmen einleiten: Sollten Sie in Ihrem System Indikatoren einer Kompromittierung finden, empfehlen wir, forensische Maßnahmen (Nachverfolgung der Prozessaktivität und Administrator-Zugriffe) am System, sowie auch an erreichbaren Teilen des Unternehmensnetzwerkes einzuleiten. Je nachdem, wie lange der Angreifer sich schon ihn Ihrem System befand, können weitere Systeme wie das Active Directory (AD) kompromittiert sein. Dadurch kann das eigentliche Schadensausmaß festgestellt werden, und gegebenenfalls weitere Maßnahmen (z.B. ein Passwort-Reset aller User, Neuaufsetzen des ADs) eingeleitet werden.