Microsoft Exchange-Hack: 5 Tipps, wie MSPs darauf reagieren können

Kaum haben wir uns mit einer Cybersecurity-Bedrohung befasst, taucht schon wieder eine neue Gefahr auf. Eine aktuelle Bedrohung, die die gesamte Community betrifft, steht im Zusammenhang mit Microsoft Exchange. Dabei handelt es sich nicht nur um einen, sondern um mehrere Zero-Day-Exploits, die kein alltägliches Problem darstellen. Diese Exploits umgehen die Authentifizierung (einschließlich der Zwei-Faktor-Authentifizierung) und überschwemmen viele Security Bulletins. Was genau steckt dahinter und wie sollten Sie damit umgehen?

Machen Sie sich mit der Bedrohung vertraut

Microsoft Exchange wird über vier unterschiedliche und sich ergänzende Zero-Day-Sicherheitslücken massiv angegriffen und missbraucht, was letztendlich dazu führt, dass Angreifer in die betroffenen Netzwerke eindringen können. Die vier Sicherheitslücken sind eine ideale Kombination, da sie schrittweise vom unauthentifizierten Erstzugriff auf eine Exchange-Instanz über die Eskalation von Privilegien bis hin zur Ausführung des Codes reichen, wodurch ein dauerhafter Zugriff auf Netzwerke ermöglicht wird.

Nach dem Out-of-band Release von Exchange-Patches durch Microsoft beobachtet die Security-Community weiterhin, dass aktive Angriffe in großem Umfang automatisiert durchgeführt werden. Des Weiteren ändern sich sowohl die Häufigkeit als auch die Merkmale. Erhalten die Hacker Zugriff auf die Exploit-Kette, die zur Durchführung dieses Angriffs erforderlich ist, werden die massenhaften automatisierten Scans und die Variationen wahrscheinlich weiter zunehmen.

Gehen Sie bedacht vor

Wenn Sie oder Ihre Kunden Exchange einsetzen und über kein umfassendes Sicherheitsprogramm verfügen, besteht die Gefahr, dass wertvolle Beweise aufgrund der standardmäßigen Aufbewahrungseinstellungen verschwinden, bevor Sie eine umfassende Triage- oder Reaktionsmaßnahme einleiten können. Diese Schwachstellen wurden möglicherweise bereits im November und Dezember 2020 gezielt ausgenutzt, wobei das massenhafte Scannen wahrscheinlich erst Ende Februar 2021 begonnen hat, kurz vor der öffentlichen Bekanntgabe durch Microsoft.

Denken Sie genau über die zeitliche Relevanz des Verlusts von Beweisen nach. Das könnte sich später auszahlen, wenn Sie eine größere Initiative zur Untersuchung und Triage starten. Web- und Systemereignisprotokolle werden wahrscheinlich verschwinden. Spannende Denkanstöße erhalten Sie in der FireEye Untersuchung unter dem Punkt „Investigation Tips“.

Erinnern Sie sich an die Grundlagen

Wenn Sie über Ihren Incident Response Plan nachdenken, gibt es verschiedene Modelle, die Sie zu Rate ziehen können. Die beiden am häufigsten referenzierten sind das SANS Institute und das National Institute for Standards and Technology (NIST). Das NIST Cybersecurity Framework fasst Industriestandards und Best Practices in einem einheitlichen Format zusammen, um Unternehmen dabei zu helfen, auf Cybersecurity-Vorfälle zu reagieren und sich davon zu erholen sowie die Ursachen zu analysieren und Verbesserungen vorzunehmen. Jetzt ist es an der Zeit, sich an die Grundlagen zu erinnern und einen angemessenen Ansatz für Ihre Maßnahmen zu wählen.

Wir sitzen alle in einem Boot

Microsoft hat Patches veröffentlicht, die Sie verwenden können, um die Nutzung der Schwachstelle zu verhindern. Es wird empfohlen, dass Sie die Patches sofort installieren. Wenn ein Patching zu diesem Zeitpunkt nicht möglich ist, finden Sie unten einen Link zu den Empfehlungen von Microsoft zur Abschwächung der Schwachstellen. Alles, was über ein vollständiges Patching dieser Schwachstellen hinausgeht, sollte jedoch als vorübergehende Lösung betrachtet werden. Eine beschleunigte Triage und zusätzliche Überprüfung der von der Security-Community vorgelegten Untersuchungen sind erforderlich, um die Frage zu beantworten, ob Sie und Ihre Mitarbeiter betroffen sind oder nicht.

• Datto hat einen Microsoft Exchange „ProxyLogon/Hafnium Scanner“ veröffentlicht, der im Datto RMM ComStore verfügbar ist und die ausgezeichnete Arbeit von CERT-LV und Microsoft nutzt, um eine Kompromittierung zu identifizieren.
• Weitere Informationen über die Zero-Days, die Indicators of Compromise (IOCs) und die Feinheiten dieses neuartigen Angriffs sind unten verlinkt. Das ist zwar ein guter Anfang, trotzdem müssen wir uns mit der Situation weiterentwickeln.

Wissen ist Macht

Microsoft und das Exchange-Team aktualisieren kontinuierlich eine spezielle Webseite, um über den Vorfall und die Sicherheitslücken zu berichten. Außerdem gibt es zwei GitHub-Repositories mit Echtzeit-Updates für neu identifizierte IOCs. Es gibt eine überwältigende Menge an Informationen, die im Zusammenhang mit diesem Vorfall im Umlauf sind. Wenn Sie bei Microsoft ganz oben anfangen und auf relevante Updates und Hinweise der Cybersecurity and Infrastructure Security Agency (CISA) achten, sind Sie gut gerüstet, um in dieser Situation den Überblick zu behalten.

Im Folgenden haben wir eine Liste mit zusätzlichen Informationen für MSPs zusammengestellt. Bleiben Sie wachsam.

• Threat Research: Detection and Response to Exploitation of Microsoft Exchange Zero-Day Vulnerabilities
• Microsoft Exchange Server Vulnerabilities Mitigations – updated March 9, 2021
• Scan Exchange log files for indicators of compromise
• Mitigate Microsoft Exchange Server Vulnerabilities
• Compromise of Microsoft Exchange Server
• Examining Exchange Exploitation and its Lessons for Defenders
• Microsoft Exchange server exploitation: how to detect, mitigate, and stay calm