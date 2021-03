"Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrechterhalten werden" – das ist die aktuelle Einschätzung der Situation durch das BSI. Ursache sind die Sicherheitslücken in Microsoft Exchange, für die der Hersteller in der Nacht zum Mittwoch, dem 3. März, Out-of-Band Updates veröffentlicht hat.

Das beim BSI angesiedelte CERT-Bund sieht aktuell mindestens 26.000 verwundbare Exchange Server in Deutschland, die direkt aus dem Internet erreichbar sind. Bei diesen "sollte von einer Kompromittierung ausgegangen werden", erklärt das BSI in seiner aktuellen Sicherheitswarnung zu den Exchange-Lücken. Hinzu kommen noch einmal mindestens genauso viele Server, bei denen nicht exakt zu sagen ist, ob sie die schützenden Updates bereits erhalten haben.

Dem BSI zufolge sind auch sechs Bundesbehörden betroffen. "Dabei ist es in vier Fällen zu einer möglichen Kompromittierung gekommen", hieß es in einer Sicherheitswarnung. Um welche Einrichtungen es sich handelt, wollte das BSI nicht öffentlich sagen. Es habe den betroffenen Behörden Hilfe angeboten und sei auch schon in einzelnen Fällen aktiv.

Bei etwa der Hälfte der Systeme lässt sich nicht feststellen, ob sie noch anfällig sind. Das CERT-Bund informiert aktuell betroffene Firmen. (Bild: CERT-Bund)

Wichtig ist, dass die Admins ihre Systeme nicht nur aktualisieren, sondern auch überprüfen, ob diese vielleicht schon gekapert wurden. Denn die Updates schließen zwar die Lücken, beseitigen aber nicht eine bereits erfolgte Infektion. Sollte es den derzeit überaus aktiven Angreifern gelungen sein, bereits eine Hintertür auf dem Server oder in den von dort zu erreichenden Systemen zu installieren, wird diese unter Umständen Monate später etwa für groß angelegte Erpressung genutzt.

Dies widerfuhr etwa der Uni-Klinik Düsseldorf, bei der Cyberkriminelle das Zeitfenster zwischen Bekanntwerden der Lücke und der Installation des schützenden Updates nutzten, um eine Backdoor zu installieren. Monate später kehrten die Angreifer über diese zurück, verschlüsselten massenhaft Daten und erpressten die Uni. Der Vorgang lähmte die Uni-Klinik über mehrere Monate.

Jetzt handeln!

Wer einen Exchange-Server betreibt, muss also mit allerhöchster Priorität zwei Dinge sicherstellen:

dass der Server nicht bereits kompromittiert wurde dass dieser mit allen aktuellen Updates versehen ist

Finden sich Hinweise auf einen Einbruch, muss unbedingt sorgfältig geprüft werden, wie weit die Angreifer bereits ins Netz vordringen konnten. Das CERT-Bund warnt in diesem Kontext: "Exchange-Server besitzen in vielen Infrastrukturen standardmäßig (teilweise ungerechtfertigt) sehr hohe Rechte im Active Directory. Es ist denkbar, dass weitergehende Angriffe mit den Rechten eines übernommenen Exchange-Servers potenziell mit geringem Aufwand auch die gesamte Domäne kompromittieren können."

Ausnahmsweise Direkt-Patches

All das ist nicht trivial. Selbst das Einspielen der Patches erfordert oft noch vorbereitende Updates, da Microsoft die Patches normalerweise nur für die jeweils noch unterstützten Update-Stände (kumulative Updates, CUs) bereitstellt. Das sind aktuell CU 7/8 für Exchange 2019, CU 18/19 für Exchange 2016 und CU 23 bei Exchange 2013. Dem eigentlich bereits abgekündigten Exchange 2010 spendiert Microsoft ausnahmsweise auch noch Patches, sofern es sich auf 2010 SP 3 befindet.

Nur ausnahmsweise stellt Microsoft jetzt auch Sicherheits-Updates bereit, die sich direkt installieren lassen. (Bild: Microsoft)

Angesichts der Dringlichkeit der Situation hat Microsoft jedoch jetzt auch Security-Patches erstellt, die sich installieren lassen, wenn die aktuellen kumulativen Updates aus irgendwelchen Gründen nicht eingespielt werden können. Details dazu finden sich hier: March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server

Folgende Dokumente helfen bei den erforderlichen Maßnahmen:

Mehr Infos und Diskussionen gib es im Expertenforum von heise Security Pro:

(ju)