Es ist wieder soweit, das BSI gibt eine “Sicherheitsdurchsage”1 für alle Microsoft Exchange-Server Betreiber. Gleich mehrere Lücken (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207) im Technologie-Stack von Microsoft führen zur Übernahme des Servers und in Folge des kompletten AD-Firmennetzwerks.
Wie zuletzt im Frühjahr bei HAFNIUM2 werden wieder Regelsätze zum Auffinden bereits kompromittierter Systeme verteilt3. Obwohl die meisten Patches gegen “ProxyShell” bereits im Mai (z.B. mit dem CU20 für Exchange 2016) von Microsoft veröffentlicht wurden, sind diese längst nicht bei allen installiert. Der Sicherheitsforscher Kevin Beaumont spricht ohne Übertreibung bei seiner Präsentation4 auf der DefCon von einem “Tip of an Iceberg”. Nur wenige Tage später werden bereits die ersten automatisierten Scans auf “Proxyshell” festgestellt5. Die Landkarte betroffener Systeme spricht für sich:
Wer eine Exchange-Infrastruktur in seinem Unternehmen betreibt, dem rufe ich zu: Löst das Problem an der Wurzel! Es gibt Alternativen oder kompensierenden Maßnahmen, die sogar kostengünstiger und wirtschaftlicher im Betrieb sind als alles, was Microsoft mit seinem unsicheren Technologie-Stack seinen Nutzern zumutet. Microsoft selbst ist technologisch längst weiter und entwickelt seine Legacy Produkte aus den 90er Jahren kaum noch weiter6. Die nachfolgenden Zeilen sind aus meinem Blog-Eintrag vor fast einem Jahr entnommen - diese haben weiterhin Gültigkeit7:
Nicht ohne Grund warne ich seit mehreren Jahren vor einer zu engen Verzahnung von Microsoft AD und Internet-Funktionen. Dort wo Microsoft-Lösungen durch freie Standards und Systeme ersetzt werden können, sollte das umgehend geschehen. Doch viele hängen leider Ihre internen Dienste wie z.B. einen Exchange direkt “ins Internet” mitsamt OWA und EAS ganz ohne Firewalls, Mail-Gateways oder Reverse-Proxies. Im Normalfall leider absolut fahrlässig per Portweiterleitung. Meine persönliche Meinung: Wer heute noch die Kombination Exchange/Outlook einsetzt, dem ist nicht zu helfen.
Ich helfe gerne weiter mit Exchange-Server Alternativen oder aber entsprechenden Linux-Gateways für EAS für KMU.
Einfach ansprechen!
Tomas Jakobs
https://twitter.com/certbund/status/1424468051811045382#m ↩︎
https://blog.jakobs.systems/micro/20210305-exchange-meltdown/ ↩︎
https://github.com/SigmaHQ/sigma/blob/master/rules/web/web_exchange_proxyshell.yml ↩︎
https://www.blackhat.com/us-21/briefings/schedule/index.html#proxylogon-is-just-the-tip-of-the-iceberg-a-new-attack-surface-on-microsoft-exchange-server-23442 ↩︎
https://www.heise.de/news/Exchange-Server-jetzt-patchen-Angreifer-suchen-aktiv-nach-neuer-Luecke-6158190.html ↩︎
https://blog.jakobs.systems/micro/20210714-microsoft-opensource/ ↩︎
https://blog.jakobs.systems/micro/20201008-bsi-warnung-exchange/ ↩︎