Das Microsoft ATP Research Team weist in einem aktuellen Blog-Eintrag auf die Gefahren hin, denen Exchange-Server aktuell ausgesetzt sind. „Auf Exchange-Servern fehlten bisher – oft absichtlich – Virenschutzlösungen, Netzwerkschutz, die neuesten Sicherheitsupdates und die richtige Sicherheitskonfiguration, weil man fälschlicherweise annahm, dass diese Schutzmechanismen die normalen Exchange-Funktionen beeinträchtigen. Angreifer wissen das, und sie nutzen dieses Wissen, um in einem angegriffenen Ziel Fuß zu fassen.“
Die Sicherheitsexperten erklären, dass es im Wesentlichen zwei Möglichkeiten gibt, wie Exchange-Server kompromittiert werden. Das erste und häufigere Szenario besteht darin, dass Angreifer Social Engineering oder Drive-by-Download-Angriffe starten, die auf Endpunkte abzielen, wo sie Anmeldeinformationen stehlen und sich in einer progressiven Dump-escalate-Move-Methode lateral zu anderen Endpunkten bewegen, bis sie Zugriff auf einen Exchange-Server erhalten.
Das zweite Szenario besteht darin, dass Angreifer eine Schwachstelle bei der entfernten Codeausführung ausnutzen, die die zugrunde liegende Internet Information Server (IIS) Komponente eines Exchange-Zielservers beeinträchtigt. Dies ist der Wunschtraum eines Angreifers, denn wenn der Server falsch konfigurierte Zugriffsebenen hat, kann er Systemprivilegien erlangen.
Das erste Szenario ist häufiger anzutreffen, aber Microsoft beobachtet aktuelle eine starke Zunahme von Angriffen der zweiten Art, insbesondere von Angriffen, die Exchange-Schwachstellen wie CVE-2020-0688 ausnutzen. Das Sicherheitsupdate, das diese Schwachstelle behebt, steht seit mehreren Monaten zur Verfügung, aber viele Kunden haben den Patch immer noch nicht implementiert.
Nachdem die Angreifer Zugriff auf einen Exchange-Server erlangt haben, richten sie eine Web-Shell in einem der vielen im Web zugänglichen Pfade auf dem Server ein. Diese Web-Shells ermöglichen es Angreifern, Daten zu stehlen oder andere böswillige Aktionen durchzuführen.
Zur Abwehr dieser Bedrohungen rät Microsoft zu einem Vorgehen mit fünf Schritten:
Identifizieren und beheben Sie Schwachstellen oder Fehlkonfigurationen in Exchange-Servern. Implementieren Sie die aktuellen Sicherheitsupdates, insbesondere für Serverkomponenten wie Exchange, sobald diese verfügbar sind. Prüfen Sie insbesondere, ob die Patches für CVE-2020-0688 vorhanden sind. Nutzen Sie das Bedrohungs- und Schwachstellenmanagement, um diese Server regelmäßig auf Schwachstellen, Fehlkonfigurationen und verdächtige Aktivitäten zu überprüfen.
Es ist von entscheidender Bedeutung, Exchange-Server mit Antiviren-Software und anderen Sicherheitslösungen wie Firewall und Multi-Faktor-Authentifizierung (MFA) zu schützen. Aktivieren Sie den Cloud-basierten Schutz und die automatische Musterübermittlung, um künstliche Intelligenz und maschinelles Lernen zu nutzen, um neue und unbekannte Bedrohungen schnell zu erkennen und zu stoppen. Verwenden Sie Regeln zur Reduzierung der Angriffsfläche, um automatisch Verhaltensweisen wie den Diebstahl von Berechtigungsnachweisen und die verdächtige Verwendung von PsExec und WMI zu blockieren. Schalten Sie Manipulationsschutzfunktionen ein, um Angreifer daran zu hindern, Sicherheitsdienste zu stoppen. Sie sollten sich keine Sorgen machen, dass diese Sicherheitskontrollen die Leistung beeinträchtigen oder den Betrieb stören.
Überprüfen Sie hochprivilegierte Gruppen wie Administratoren, Remote-Desktop-Benutzer und Unternehmens-Admins. Angreifer fügen diesen Gruppen Konten hinzu, um auf einem Server Fuß zu fassen. Überprüfen Sie diese Gruppen regelmäßig auf verdächtige Hinzufügungen oder Entfernungen. Um Exchange-spezifische Anomalien zu identifizieren, überprüfen Sie die Liste der Benutzer in sensiblen Rollen wie Postfachimportexport und Organisationsverwaltung mit dem Cmdlet „Get-ManagementRoleAssignment“ in Exchange PowerShell.
Praktizieren Sie das Prinzip der geringsten Privilegien und wahren Sie die Zugangshygiene. Vermeiden Sie die Verwendung von domänenweiten Dienstkonten auf Administratorebene. Setzen Sie starke randomisierte, just-in-time lokale Administrator-Passwörter durch und aktivieren Sie Multi-Faktor-Authentifizierung (MFA). Verwenden Sie Werkzeuge wie Local Administrator Password Solution (LAPS). Platzieren Sie Zugriffskontrolllisten-Beschränkungen (ACL) für das Exchange Control Panel (ECP) und andere virtuelle Verzeichnisse im Internet Information Server IIS. Stellen Sie das ECP-Verzeichnis nicht ins Web, wenn es nicht notwendig ist.
Achten Sie auf Warnungen, die auf verdächtige Aktivitäten auf Exchange-Servern hinweisen, und untersuchen Sie diese sofort. Das Abfangen von Angriffen in der Erkundungsphase, d.h. in der Zeit, in der Angreifer nach dem Zugriff mehrere Tage damit verbringen, die Umgebung zu erkunden, ist von entscheidender Bedeutung. Gemeinsame Anwendungspools wie „MSExchangeOWAAppPool“ oder „MSExchangeECPAppPool“ werden häufig von Angreifern durch den Einsatz einer Web-Shell gekapert. Priorisieren Sie Warnungen in Bezug auf Prozesse wie net.exe, cmd.exe und mshta.exe, die aus diesen Pools oder w3wp.exe im Allgemeinen stammen.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…