Skip to main content

Die Fachpresse und die sozialen Medien sind voll davon: Die Angriffe auf Exchange-Server weltweit sind eine derart große Bedrohung, dass das BSI für deutsche Unternehmen von einer „Bedrohungslage rot“ spricht. Diese Warnung erhält noch zusätzliche Brisanz, da bereits Anfang Januar Auffälligkeiten bekannt geworden sind, erst aber am Dienstag, dem 03.03.2021, der Patch von Microsoft zur Verfügung stand. Dazwischen liegen (mindestens) schier endlose zwei Monate, in denen sich die Angreifer ungestört austoben und ihre verheerende Wirkung entfalten konnten.

Sparen Sie nicht an einer ausgeklügelten IT-Infrastruktur

Selbst wenn das Patch eingespielt und das Einfallstor damit geschlossen wird, heißt das noch lange nicht, dass die Gefahr gebannt ist. Denn Angreifer können in der Zwischenzeit unbemerkt in Ihr System eingedrungen sein und ihre kriminellen Aktivitäten dann auch noch später offenbaren. Missbrauch Ihrer Daten, Erpressung – da ist vieles denkbar, die Bedrohungslage nicht zwingend schon entschärft.

Was also tun?

Eine ausgeklügelte IT-Infrastruktur hilft enorm. Die haben wir bei unseren Kunden installiert und sie führt dazu, dass keiner unserer Kunden von der Exchange-Attacke betroffen ist. Warum ist das so?

Jeder öffentlich erreichbare Server dient als Einfallstor

Exchange-Server bieten eine Webschnittstelle, über die per Webmail auf den Server zugriffen werden kann und mobile Geräte wie SmartPhones und mobiles Outlook synchronisiert werden. In dem öffentlich erreichbaren Teil dieses Webservers, der zur Anzeige des Loginfensters für Webmail genutzt wird, existierte ein Berechtigungsfehler, über den Angreifer ohne Authentifizierung Dateien auf dem Server ablegen und über weitere Schritte dann den Server komplett übernehmen konnten. Die Angreifer konnten also im Prinzip jeden Exchange-Server übernehmen, der direkt mit dem Internet verbunden war.

Reverse-Proxy schützen nur, wenn man es richtig macht

Auch Unternehmen, die ihren Exchange-Server mit einem vorgeschalteten Proxy abgesichert hatten, bleiben unter Umständen nicht verschont. Solche „Reverse Proxy“ werden häufig eingesetzt, um vor Angriffen von außen nach innen zu schützen. Es handelt sich dabei um eine Art „schützenden Makler“ zwischen Internet und Exchange-Server, der die Kommunikation auf schädliche Inhalte prüft. Da die für den Angriff genutzten Kommandos aber normale Webserver-Anfragen waren, wurden diese von Reverse Proxies nicht blockiert. Erst nach Bekanntwerden des Angriffs haben die Anbieter von Reverse Proxies ihre Signaturen erweitert, so dass nun auch die Exchange-Angriffe erkannt werden.

Authentifizierung auf dem Reverse-Proxy

Wir verwenden zwar ebenfalls einen Reverse Proxy, erweitern diesen allerdings um Authentifizierung bereits auf dem Proxy. Dadurch ist ein anonymer, nicht authentifizierter Zugriff auf den Exchange Server nicht möglich. Sicherheitslücken könnten also nur ausgenutzt werden, wenn zunächst eine Anmeldung mit gültigem Benutzernamen und Passwort erfolgt. Da diese den Angreifern nicht zur Verfügung standen, konnte der Angriff bei uns und unseren Kunden nicht erfolgreich durchgeführt werden.

Das ist ein großes Glück und einfach auch gut durchdacht, denn es bewahrte unsere Kunden vor möglichem großen Schaden. Der Vorfall bestätigt uns darin, IT-Architekturen unserer Kunden exakt zu durchdenken und Sicherheitsaspekte keinesfalls zu vernachlässigen. Für alle Betroffenen gilt unbedingt sicherzustellen, dass ihre Exchange-Server nicht kompromittiert worden sind. Helfende Informationen und laufend aktualisierte Updates hierzu finden Sie auf der Website des Bundesamts für Sicherheit in der Informationstechnik.