Die vom BSI mit höchster Kritikalität eingestufte Cybersicherheitswarnung „Mehrere Schwachstellen in MS Exchange“ beschäftigt momentan viele IT-Abteilungen. Ich habe einige Forendiskussionen dazu verfolgt, die leider schnell unübersichtlich wurden. Da auch einige falsche Thesen und Fragen immer wieder auftraten, habe ich hier eine Zusammenfassung begonnen.
Aussage: Ich muss nur die von Microsoft zur Verfügung gestellten Patches einspielen.
Nein. Selbst wenn die Patches unmittelbar nach Veröffentlichung eingespielt wurden, muss der Exchange Server auf Kompromittierung geprüft werden. Zunächst hatte das BSI dies nur empfohlen, wenn man die Patches nach Mittwoch eingespielt hat. Mittlerweile ist aber klar, dass die Schwachstelle bereits seit November 2020 aktiv ausgenutzt wird.
Aussage: Ich habe einen SMTP-Relay-Server im Einsatz, dadurch bin ich geschützt.
Nein. Das spielt hier keine Rolle. Die Schwachstellen betreffen die Exchange Web-Dienste und nicht den E-Mail-Traffic.
Aussage: Die Schwachstelle betrifft nur Outlook Web Access (OWA).
Nein. OWA ist zwar der bekannteste Exchange Web-Dienst, aber nicht der einzige. Das hat das BSI nun auch noch einmal klargestellt:
Die Verwundbarkeit über nicht-vertrauenswürdige Verbindungen auf Port 443 kann grundsätzlich durch jeden Exchange Web Dienst verursacht werden, d. h. nicht nur durch OWA, sondern auch bei der Nutzung von ActiveSync,Unified Messaging (UM), dem Exchange Control Panel (ECP) VDir, den Offline Address Book (OAB) VDir Services sowie weiterer Dienste.
Aussage: Ich habe eine WAF im Einsatz, dadurch bin ich geschützt.
Nein, eher nicht. Der initiale Angriff ist eine Server-Side Request Forgery (SSRF), welche generell schwer zu verhindern sind, insbesondere wenn das Angriffsmuster zuvor unbekannt war. Der BSI formuliert das relativ klar:
Das Risiko erfolgreicher Angriffe besteht insbesondere für alle aus dem Internet erreichbaren Exchange-Server.
Wenn man nicht sofort patchen kann, soll der Zugriff über das Internet vorerst abgeschaltet werden.
Aussage: Mein Exchange-Server ist nur über VPN erreichbar, dadurch bin ich geschützt.
Jein. Das Risiko wird dadurch deutlich reduziert, da Angriffe aus dem offenen Internet nicht mehr möglich sind. Die Schwachstelle ist aber dadurch nicht geschlossen, sie könnte noch immer von innerhalb des lokalen Netzes ausgenutzt werden. Darauf weist auch das BSI explizit hin:
Zu berücksichtigen ist zudem, dass die Schwachstelle ebenfalls aus dem lokalen Netz ausnutzbar wäre, sofern beispielsweise ein Angreifer über einen infizierten Client auf Outlook Web Access Zugriff erhält. Auch deshalb sind die entsprechenden Maßnahmen SOFORT und ggf. auch über das Wochenende umzusetzen!
Aussage: Ich habe die Patches eingespielt und mein System geprüft. Es ist sauber, jetzt habe ich Ruhe.
Nein, nur für den Moment. Das BSI empfiehlt ein kritisches Auseinandersetzen mit der Frage, ob die Vorteile von mobilen Zugriffen auf den Exchange Server die Risiken rechtfertigen. Das BSI schreibt mit Verweis auf die eigenen IT-Grundsicherheitsrichtlinien:
Da Exchange-Server immer wieder von kritischen Schwachstellen betroffen sind, die häufig – wie auch in diesem Fall – direkt über einen Fernzugriff aus dem Internet ausgenutzt werden können, besteht hierin eine besondere Wichtigkeit.
Das wars fürs erste, ich halte die Augen offen. Falls es etwas zu ergänzen oder zu korrigieren gibt, könnt Ihr mir aber auch gerne Bescheid geben. Allen, die gerade Überstunden schieben und ihr Wochenende opfern müssen, wünsche ich viel Erfolg und hoffentlich eine ruhigere neue Woche!