Verwundbare Exchange-Server der öffentlichen Verwaltung

20 Exchange-Server in öffentlicher Hand waren für eine Sicherheitslücke anfällig. Kriminelle hätten die Kontrolle übernehmen können.

Lesezeit: 7 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 198 Beiträge
Leuchtendes Vorhängeschloss vor der frühabendlichen Szenerie einer Großstadt mit Hochhäusern

(Bild: VideoFlow/Shutterstock.com)

Von
  • Alexander Königstein

Es gelingt Erpressern immer wieder, die digitale Infrastruktur ganzer Landkreise lahmzulegen und Behörden in die analoge Steinzeit zu schicken, zuletzt erkennbar an den tagelang ausbleibenden Corona-Meldezahlen für den Landkreis Ludwigslust-Parchim in der Corona-Warn-App. Uns hat interessiert, ob die Behörden daraus gelernt haben, und wie es allgemein um die IT-Sicherheit von Servern in öffentlicher Hand bestellt ist. Wir haben Anfang November in 59.000 Webservern von Landkreisen, Bundesbehörden und Städten in ganz Deutschland nach Exchange-Webapps gesucht und sie auf eine bekannte kritische Sicherheitslücke getestet.

Mehr von c't Magazin Mehr von c't Magazin

Unser Testskript filterte daraus 460 öffentlich erreichbare Exchange-Server-Webapps, die am Pfad /owa/ zu erkennen sind, und analysierte sie, wonach 20 Server angreifbar waren. Unter den gefundenen Exchange-Servern befinden sich ein Theater, eine Volkshochschule sowie mehrere Stadtverwaltungen und Landkreise. Vier Serverbetreiber haben bis Redaktionsschluss noch keinen Patch dagegen laufen lassen und tauchen deshalb auch nicht in unserer Liste auf. Angreifer hätten in jedem einzelnen Fall leicht die Kontrolle über den verwundbaren Mailserver übernehmen können und schlimmstenfalls sogar über das ganze Netz.

Ort Institution
Amberg Volkshochschule
Bernsdorf Stadtverwaltung
Bleckede Stadtverwaltung
Dachau Stadtverwaltung
Erkner Stadtverwaltung
Freiburg Theater
Heilbad Heiligenstadt Stadtverwaltung
Klötze Stadtverwaltung
Merzig-Wadern Landkreis
Mölln Stadtverwaltung
Plauen Stadtverwaltung
Rendsburg Stadtverwaltung
Sassnitz Stadtverwaltung
Stadtbergen Stadtverwaltung
Sulzbach Saar Stadtverwaltung
Vellmar Stadtverwaltung

Die Microsoft-Exchange-Server waren über die sogenannte "Proxyshell-Lücke" angreifbar. Microsoft stellt für dieses Problem schon seit April 2021 Sicherheitsupdates bereit. Anfang August spitzte sich die Lage zu, da die Updates vielerorts noch nicht eingespielt worden waren: Heise Security und das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnten bereits im August vor einer laufenden Angriffswelle, in deren Kontext sich Kriminelle Zugriff auf die noch ungepatchten Server verschafft und die Betreiber mit Ransomware erpresst haben. Die Gefahr ist also real.

Doch sogar drei Monate nach der eindringlichen Warnung fanden wir immer noch Exchange-Server ohne aktuelle Sicherheitsupdates in der öffentlichen Verwaltung, wie die aktuelle c’t-Untersuchung zeigt. Genau genommen handelt es sich nicht um eine einzelne Lücke, sondern drei einzelne Sicherheitslecks, die zusammen dazu führen, dass ein Angreifer den Exchange-Server übernehmen kann.

Um herauszufinden, ob die Server anfällig sind, haben wir die erste Sicherheitslücke CVE-2021-34473, sprich "Zugriff auf Backend-URLs" getestet, die uns die Version des Exchange-Servers angezeigt hat. Wir generierten zunächst eine Liste mit den Domains aller Bundesländer, über 200 Landkreise, etlicher Bundesbehörden und über 2.000 Städte. Aus dieser Liste filterten wir die aktiven Outlook-Web-Apps (OWA), um nur die relevanten Server zu überprüfen. Bei den OWA-Servern riefen wir anschließend eine Test-URL auf, um herauszufinden, ob die wichtigen Sicherheitsupdates bereits installiert waren, und speicherten relevante Metadaten wie URL, Versionsnummer, User und Mailbox. Zu unserer Überraschung waren 20 Server nach wie vor für Proxyshell anfällig.

Bei verwundbaren Exchange-Servern wird eine Statusseite mit Dienstkonto (User) und Mailbox angezeigt.

Wer selbst einen Exchange-Server betreibt, kann leicht überprüfen, ob dieser verwundbar ist. Es reicht eine GET-Anfrage an die Outlook-Web-App des Mailservers zu schicken, zum Beispiel durch den Aufruf einer URL im Browser:

https://autodiscover.ihredomain.de/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com

Tauschen Sie ihredomain.de durch Ihren Domainnamen aus, belassen Sie aber @foo.com – hier muss eine fremde Domain stehen, damit der Test aussagekräftig ist. Bei einem verwundbaren System spuckt der Exchange-Server eine Seite mit HTTP-Statuscode 200 und dem Titel "Exchange MAPI/HTTP Connectivity Endpoint" aus. Diese zeigt die laufende Exchange-Version, das Dienstkonto (NT Authority\System, je nach Systemsprache) und den Mailboxnamen an. Diese Seite sollte überhaupt nicht von außen erreichbar sein, denn sie gehört zum Backend von Exchange und ist nur über die Schwachstelle ohne Authentifizierung zugänglich. Wir empfehlen sogar, die URL über einen längeren Zeitraum mehrfach abzurufen, weil uns aufgefallen ist, dass auch bei aktuellen Exchange-Servern die Backend-Seite nur zu bestimmten Zeiten zugänglich war.

Ein Angreifer würde die gleiche URL nutzen, allerdings einen POST-Request mit Angriffscode (Exploit) an den Server schicken. Der passende Exploitcode ist seit mindestens August öffentlich und so einfach zu bedienen, dass ein Einbrecher sich nur noch eine Hintertür aussuchen muss, die er auf den Exchange-Server hochladen möchte.

Mittlerweile gibt es auch Skripte, die den Angriff automatisiert ausführen. Damit kann ein Eindringling zu jedem späteren Zeitpunkt beliebige Befehle auf dem Server ausführen. c’t hat die Betreiber selbst informiert oder die Fälle an das BSI gemeldet. Die meisten haben schnell auf die Kontaktaufnahme reagiert und ihre Server aktualisiert.

Antwort vom ungebetenen Besuch

Ein paar Wochen, nachdem wir den Betreiber eines Exchange-Servers mit offener Sicherheitslücke per E-Mail gewarnt hatten, erhielten wir eine ungewöhnliche Antwort: "Guten Tag! Bitte stellen Sie sicher, dass alle Dokumentationen über den nächsten Link gefunden werden können." – der Link führte auf eine Website, die nichts mit der betroffenen Stadtverwaltung oder uns zu tun hatte. Die E-Mail selbst kam nicht von der Stadtverwaltung, sondern wurde über eine gehackte Wordpress-Website versendet, nur im Absendername stand die Stadt. Als vorangegangene Konversation zitierte die E-Mail unsere Warnung zum verwundbaren Exchange-Server. Wie die Stadtverwaltung uns mitteilte, wurde unsere E-Mail bei einem Befall des Mailservers kopiert. Wir können uns vorstellen, durch welche Sicherheitslücke das passiert ist. Man arbeite daran, dass dies in Zukunft nicht mehr vorkommt.

Wer seine Server nicht zügig abgesichert hat, steht nun vor einem Problem: Wurde der Server bereits gehackt? Es reicht nicht aus, nur in den IIS-Logs nach verdächtigen HTTP-Anfragen Ausschau zu halten. Admins sollten mindestens noch einen Blick in die Verzeichnisse "C:\inetpub\wwwroot\aspnet_client\" und "C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\" werfen, denn das sind bekannte Orte, an denen Angreifer ihre Hintertür platzieren.

Auch wenn hier keine ungewöhnlichen Dateien zu finden sind, heißt das nicht zwangsläufig, dass der Server verschont wurde: Wenn ein Angreifer mit Systemrechten auf dem Server unterwegs war, könnte und würde er seine Spuren verwischt haben. Im schlechtesten Fall hat er sogar schon weitere Rechner im Netzwerk übernommen.

Bei einer monatealten kritischen Sicherheitslücke, die nicht rechtzeitig geschlossen wurde, muss man mit dem Schlimmsten rechnen. Die Suche nach einem potenziellen Eindringling ist aufwendig, deshalb wäre umgehende Serverwartung in Zukunft die bessere Strategie. Installieren Sie Sicherheitsupdates zügig, ohne zu warten, bis das BSI vor einer großen Angriffswelle warnt. Dies gilt insbesondere für öffentlich erreichbare Server.

Das Computer-Notfallteam des BSI warnte Ende November auf Twitter erneut vor Mailservern mit kritischen Schwachstellen.

Auch außerhalb der öffentlichen Verwaltung finden sich nach wie vor etliche verwundbare Exchange-Server. Insgesamt ist die Lage höchst kritisch: Das BSI warnte über Twitter am 30. November, dass circa 12.000 Server in Deutschland von mindestens einer kritischen Lücke betroffen seien – das entspreche 30 Prozent der Server, die dem BSI bekannt sind.

Informationen über den Patch-Stand bekommt das BSI von der Rechner-Suchmaschine Shodan. Dass die Wartung von Exchange manchmal vergessen wird, ist offenbar kein exklusives Problem der öffentlichen Verwaltung.

Unsere Recherche zeigt, dass die öffentliche Hand in Teilen nicht hinterherkommt, kritische Lücken zügig zu schließen. Selbst wenn gepatcht wurde, sieht die Situation der Behörden-IT oft nicht rosig aus. Es häufen sich die Ransomware-Fälle in öffentlichen Einrichtungen: Besonders schlimm traf es im Sommer den Landkreis Anhalt-Bitterfeld, der sogar den Katastrophenfall ausrufen musste, um Unterstützung der Bundeswehr zu bekommen.

Wochenlang musste die IT-Infrastruktur neu aufgebaut werden. Die Tür zur Kreisverwaltung blieb verschlossen. Die Bürger konnten dort Behördengänge nicht mehr erledigen und die Verwaltung konnte nicht mal Sozialhilfe anweisen. Solche Angriffe finden vermehrt per Trojaner in einer Mail statt. Bei den ungepatchten Exchange-Servern ist nicht mal ein unbedachter Klick auf einen Mail-Anhang nötig: Das Scheunentor steht dort sperrangelweit offen.

c’t Ausgabe 3/2022

In c’t 3/2022 zeigen wir Ihnen, wie Sie das für Ihre Bedürfnisse optimale Linux nebst passender Desktop-Umgebung finden. Wir haben smarte Rauchmelder getestet, die im Brandfall Alarmketten auslösen und eine Meldung ans Smartphone absetzen. Außerdem im Test: Z690-Mainboards, Einzugsscanner, günstige Mobilfunktarife und vieles mehr. Ausgabe 3/2022 finden Sie ab dem 14. Januar im Heise-Shop und am gut sortierten Zeitschriftenkiosk.

(ako)