Microsoft warnt vor Angriffen auf Exchange Server

Das Microsoft ATP Research Team weist in einem aktuellen Blog-Eintrag auf die Gefahren hin, denen Exchange-Server aktuell ausgesetzt sind. „Auf Exchange-Servern fehlten bisher – oft absichtlich – Virenschutzlösungen, Netzwerkschutz, die neuesten Sicherheitsupdates und die richtige Sicherheitskonfiguration, weil man fälschlicherweise annahm, dass diese Schutzmechanismen die normalen Exchange-Funktionen beeinträchtigen. Angreifer wissen das, und sie nutzen dieses Wissen, um in einem angegriffenen Ziel Fuß zu fassen.“

Die Sicherheitsexperten erklären, dass es im Wesentlichen zwei Möglichkeiten gibt, wie Exchange-Server kompromittiert werden. Das erste und häufigere Szenario besteht darin, dass Angreifer Social Engineering oder Drive-by-Download-Angriffe starten, die auf Endpunkte abzielen, wo sie Anmeldeinformationen stehlen und sich in einer progressiven Dump-escalate-Move-Methode lateral zu anderen Endpunkten bewegen, bis sie Zugriff auf einen Exchange-Server erhalten.

Das zweite Szenario besteht darin, dass Angreifer eine Schwachstelle bei der entfernten Codeausführung ausnutzen, die die zugrunde liegende Internet Information Server (IIS) Komponente eines Exchange-Zielservers beeinträchtigt. Dies ist der Wunschtraum eines Angreifers, denn wenn der Server falsch konfigurierte Zugriffsebenen hat, kann er Systemprivilegien erlangen.

Das erste Szenario ist häufiger anzutreffen, aber Microsoft beobachtet aktuelle eine starke Zunahme von Angriffen der zweiten Art, insbesondere von Angriffen, die Exchange-Schwachstellen wie CVE-2020-0688 ausnutzen. Das Sicherheitsupdate, das diese Schwachstelle behebt, steht seit mehreren Monaten zur Verfügung, aber viele Kunden haben den Patch immer noch nicht implementiert.

Nachdem die Angreifer Zugriff auf einen Exchange-Server erlangt haben, richten sie eine Web-Shell in einem der vielen im Web zugänglichen Pfade auf dem Server ein. Diese Web-Shells ermöglichen es Angreifern, Daten zu stehlen oder andere böswillige Aktionen durchzuführen.

Zur Abwehr dieser Bedrohungen rät Microsoft zu einem Vorgehen mit fünf Schritten:

  • Implementieren Sie die neuen Sicherheitsupdates

Identifizieren und beheben Sie Schwachstellen oder Fehlkonfigurationen in Exchange-Servern. Implementieren Sie die aktuellen Sicherheitsupdates, insbesondere für Serverkomponenten wie Exchange, sobald diese verfügbar sind. Prüfen Sie insbesondere, ob die Patches für CVE-2020-0688 vorhanden sind. Nutzen Sie das Bedrohungs- und Schwachstellenmanagement, um diese Server regelmäßig auf Schwachstellen, Fehlkonfigurationen und verdächtige Aktivitäten zu überprüfen.

  • Aktivieren Sie Virenschutz und andere Schutzmaßnahmen

Es ist von entscheidender Bedeutung, Exchange-Server mit Antiviren-Software und anderen Sicherheitslösungen wie Firewall und Multi-Faktor-Authentifizierung (MFA) zu schützen. Aktivieren Sie den Cloud-basierten Schutz und die automatische Musterübermittlung, um künstliche Intelligenz und maschinelles Lernen zu nutzen, um neue und unbekannte Bedrohungen schnell zu erkennen und zu stoppen. Verwenden Sie Regeln zur Reduzierung der Angriffsfläche, um automatisch Verhaltensweisen wie den Diebstahl von Berechtigungsnachweisen und die verdächtige Verwendung von PsExec und WMI zu blockieren. Schalten Sie Manipulationsschutzfunktionen ein, um Angreifer daran zu hindern, Sicherheitsdienste zu stoppen.  Sie sollten sich keine Sorgen machen, dass diese Sicherheitskontrollen die Leistung beeinträchtigen oder den Betrieb stören.

  • Überprüfung sensibler Rollen und Gruppen

Überprüfen Sie hochprivilegierte Gruppen wie Administratoren, Remote-Desktop-Benutzer und Unternehmens-Admins. Angreifer fügen diesen Gruppen Konten hinzu, um auf einem Server Fuß zu fassen. Überprüfen Sie diese Gruppen regelmäßig auf verdächtige Hinzufügungen oder Entfernungen. Um Exchange-spezifische Anomalien zu identifizieren, überprüfen Sie die Liste der Benutzer in sensiblen Rollen wie Postfachimportexport und Organisationsverwaltung mit dem Cmdlet „Get-ManagementRoleAssignment“ in Exchange PowerShell.

  • Zugriff einschränken

Praktizieren Sie das Prinzip der geringsten Privilegien und wahren Sie die Zugangshygiene. Vermeiden Sie die Verwendung von domänenweiten Dienstkonten auf Administratorebene. Setzen Sie starke randomisierte, just-in-time lokale Administrator-Passwörter durch und aktivieren Sie Multi-Faktor-Authentifizierung (MFA). Verwenden Sie Werkzeuge wie Local Administrator Password Solution (LAPS). Platzieren Sie Zugriffskontrolllisten-Beschränkungen (ACL) für das Exchange Control Panel (ECP) und andere virtuelle Verzeichnisse im Internet Information Server IIS. Stellen Sie das ECP-Verzeichnis nicht ins Web, wenn es nicht notwendig ist.

  • Alerts priorisieren

Achten Sie auf Warnungen, die auf verdächtige Aktivitäten auf Exchange-Servern hinweisen, und untersuchen Sie diese sofort. Das Abfangen von Angriffen in der Erkundungsphase, d.h. in der Zeit, in der Angreifer nach dem Zugriff mehrere Tage damit verbringen, die Umgebung zu erkunden, ist von entscheidender Bedeutung. Gemeinsame Anwendungspools wie „MSExchangeOWAAppPool“ oder „MSExchangeECPAppPool“ werden häufig von Angreifern durch den Einsatz einer Web-Shell gekapert. Priorisieren Sie Warnungen in Bezug auf Prozesse wie net.exe, cmd.exe und mshta.exe, die aus diesen Pools oder w3wp.exe im Allgemeinen stammen.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago