Sicherheitslücke in Exchange-Servern

Tritt DearCry das WannaCry-Erbe an?

22.03.2021
Von 
Heinrich Vaske ist Editorial Director a.D. von COMPUTERWOCHE, CIO und CSO.
Schwachstellen in Microsofts Exchange-Server-Produkten sorgen seit Anfang März für Aufregung in vielen Unternehmen. Security-Unternehmen empfehlen neben den obligatorischen Patches eine forensische Untersuchung.
Viele Exchange-Server waren angreifbar - etliche wurden nach Einschätzung des BSI kompromittiert und sollten nun schnellstens forensisch untersucht werden.
Viele Exchange-Server waren angreifbar - etliche wurden nach Einschätzung des BSI kompromittiert und sollten nun schnellstens forensisch untersucht werden.
Foto: Hernan E.Schmidt - shutterstock.com

Mehrere Zero-Day-Schwachstellen in den Exchange-Server-Versionen 2013, 2016 und 2019 von Microsoft schlagen seit ihrem Bekanntwerden am 2. März 2021 hohe Wellen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete, dass in Deutschland "Zehntausende Exchange-Server" über das Internet angreifbar waren und vermutlich überwiegend längst mit Schadsoftware infiziert worden seien. Anwender sollten die von Microsoft zur Verfügung gestellten Sicherheits-Updates - auch für den angeblich nicht betroffenen Exchange Server 2010 - schnell einspielen und ihre Systeme forensisch untersuchen, lautet die Empfehlung.

Laut BSI werden schon jetzt von Hackern massenhaft Exploits gegen viele Tausend Angriffsziele weltweit eingesetzt. Es gehe den Angreifern vor allem um Spionage, so die Behörde, die Exploits seien demnach besonders schnell eingespielt worden - bevor die Sicherheitsteams dem mit ihren Patchings einen Riegel vorschieben konnten. Gut möglich sei zudem, dass viele Angreifer Ransomware nachladen wollten.

Auffällig waren im Zusammenhang mit der Exchange-Sicherheitslücke die Aktivitäten der chinesischen Hackergruppe "Hafnium". Der Massenhack habe besonders in Deutschland viele Opfer gefunden, berichteten die Verantwortlichen des Backup-Spezialisten Veritas. Laut der Server-Suchmaschine Shodan seien hierzulande etwa 57.000 Systeme betroffen, hieß es unter Berufung auf BSI-Zahlen.

"Der Massenhack der chinesischen Gruppe Hafnium nutzte wieder einmal Softwarefehler aus, die bis dahin unbekannt waren", sagte Marc Ahlgrim, Spezialist für Compliance und Risk Mitigation bei Veritas Technologies. "Solche Zero Day Vulnerabilities öffnen Hintertüren zu kritischen Produktionssystemen, die an allen Abwehrmaßnahmen vorbeiführen." Ein funktionierendes und integres Backup der kritischen Systeme schaffe eine letzte Verteidigungslinie, von der aus Firmen ihre Geschäftsdaten nach einem erfolgreichen Angriff zuverlässig wiederherstellen könnten.

Sophos warnt vor DearCry

Der IT-Sicherheitsanbieter Sophos identifizierte bereits Ransomware-Angriffe mit dem Trojaner "DearCry", die die Sicherheitslücken im Exchange Server gezielt ausnutzten. Dabei handele es sich mutmaßlich um einen noch nicht näher bekannten Prototypen einer Malware, die nicht nur namentlich Ähnlichkeiten mit dem prominenten Vorgänger "WannaCry" aufweise. Beide erstellten eine verschlüsselte Kopie der angegriffenen Datei (Copy Encryption) und überschrieben dann das Original, um eine Wiederherstellung unmöglich zu machen (In Place Encryption).

Laut Sophos unterscheiden sich die Fähigkeiten von DearCry und WannaCry aber deutlich. Die neue Ransomware verwendet demnach "keinen Befehls- und Kontrollserver, verfügt über einen eingebetteten RSA-Verschlüsselungscode, zeigt keine Benutzeroberfläche mit einem Timer an und verbreitet sich nicht auf andere Computer im Netzwerk".

Mark Loman, Director Engineering Technology Office bei Sophos, wird in einer Mitteilung wie folgt zitiert: "Die Liste der angegriffenen Dateitypen hat sich von Opfer zu Opfer weiterentwickelt. Unsere Analyse zeigt außerdem, dass der Code nicht die Art von Anti-Erkennungsfunktionen enthält, die wir normalerweise von Ransomware erwarten würden, wie zum Beispiel komprimierte Dateien oder Verschleierungstechniken. Diese und andere Anzeichen deuten darauf hin, dass DearCry möglicherweise ein Prototyp ist, der schneller als geplant eingesetzt wurde, um die aktuellen Sicherheitslücken bei Microsoft-Exchange-Servern auszunutzen."

ESET identifiziert zehn APT-Gruppen

Die Sicherheitsprofis von ESET haben sich ebenfalls mit den Lecks im Exchange Server beschäftigt. Sie gehen davon aus, dass die Schwachstellen bereits seit Jahresbeginn ausgenutzt werden, man habe weltweit schon über 5000 Server identifiziert, die von Hackern - insbesondere von zehn APT-Gruppen (APT = Advanced Persistent Threat), darunter die bereits genannte chinesische Hafnium-Gruppe - attackiert wurden.

"Seit dem Tag der Veröffentlichung der Patches durch Microsoft beobachteten wir, dass immer mehr Hacker massenhaft Exchange-Server scannen und kompromittieren. Interessanterweise handelt es sich dabei durchweg um APT-Gruppen, die für Spionagetätigkeiten berüchtigt sind. Wir sind uns sicher, dass auch andere Gruppen, beispielsweise Ransomware-Betreiber, diese Exploits für ihre Zwecke ausnutzen und auf den Zug aufspringen werden", sagt Matthieu Faou, der die Forschungsarbeiten von ESET zu diesem Thema leitet. Die ESET-Forscher stellten ebenfalls fest, dass einige APT-Gruppen die Schwachstellen bereits ausnutzten, bevor die Patches zur Verfügung gestellt wurden. "Wir können daher ausschließen, dass diese Gruppen einen Exploit durch Reverse Engineering von Microsoft-Updates erstellt haben", fügt Faou hinzu.

Die Schwachstellen erlaubten den Angreifern die Installation einer Webshell auf dem Server, die dann als Eintrittspunkt für weitere Malware diene. Mit seinen Sicherheitprodukten hat ESET folgende Webshells und Backdoors identifiziert, die für die Exploits genutzt würden: JS/Exploit.CVE-2021-26855.Webshell.A, JS/Exploit.CVE-2021-26855.Webshell.B, ASP/Webshell und ASP/ReGeorg.

Auch die Spezialisten von ESET gehen davon aus, dass die meisten ungepatchten Server mit Internet-Zugang bereits kompromittiert wurden. Patches einzuspielen sei weiter die wichtige Aufgabe, doch es reiche nicht aus. Ebenso sollten Admins nach Webshells und weiteren bösartigen Aktivitäten suchen und diese umgehend blocken sowie Schadcode entfernen. Und schließlich müssten die Anmeldedaten geändert werden.

Palo Alto warnt vor Verschlüsselung mit AES-256 und RSA-2048

Auch Palo Alto Networks hat jede Menge Informationen zu den Schwachstellen in den Exchange-Server-Versionen und zu DearCry gesammelt. Die Ransomware nutze die beiden Verschlüsselungstypen AES-256 und RSA-2048. Sie modifiziere die Kopfzeilen von Dateien so, dass sie die Zeichenfolge DearCry enthielten. Hier handele es sich um eine Anspielung auf die WannaCry-Malware, mit der 2017 Fabriken, Unternehmen und Regierungsbehörden auf der ganzen Welt lahmgelegt worden waren. Empfehlungen, wie Anwender vorgehen sollten, veröffentlichte Palo Alto hier.

Für Trend Micro ist das eigene RZ kein Sicherheitsgarant

Derweil stellt Trend Micro fest, dass sich manche Anwender und Behörden in trügerischer Sicherheit wähnen, weil sie die Cloud vermieden und ihre Systeme on Premise betrieben. "Getreu dem Motto 'im eigenen Rechenzentrum gehören meine Daten mir' werden dann grundlegende Sicherheitsmaßnahmen wie regelmäßiges und schnelles Patchen von Schwachstellen vernachlässigt", so das Unternehmen in einer Mitteilung. Gerade für besonders beliebte und weit verbreitete Systeme wie Exchange könnten die Folgen fatal sein. Es handele sich um "De-facto-Monokulturen", die ein beliebtes Ziel für Angreifer darstellten und die besondere Aufmerksamkeit der Security-Verantwortlichen brauchten.

Ein weiteres Problem sieht Trend Micro in der Überlastung vieler Administratoren, denen neben ihren Verwaltungs- und Support-Aufgaben sowie zusätzlichen Belastungen durch die Home-Office-Arbeitssituation kaum Zeit für Security-Themen blieben. So komme das Patchen von Systemen - auch in den Behörden - oft zu kurz. Wichtig sei zudem, dass sich Unternehmen und Behörden besser auf Angriffe vorbereiteten, denn diese seien nie zu 100 Prozent vermeidbar. Auch die besten Security-Lösungen und das sorgfältigste Patch-Management stießen an ihre Grenzen, wenn bisher unbekannte Schwachstellen genutzt würden. Eine gute Backup-Strategie und erprobte Krisenreaktionspläne seien daher in jedem Fall wichtig.