Exchange-Sicherheitslücke: Angriff über die Mail

Im Lagezentrum des Bundesamtes für Sicherheit in der Informationstechnik (BSI) haben die Mitarbeiter ein äußerst arbeitsreiches Wochenende hinter sich. Am Freitag entschloss sich die Leitung des Bundesamtes zu einem dramatischen Schritt.

Bei den Geschäftsführungen von knapp 10.000 wichtigen Unternehmen in Deutschland gingen daraufhin Warnschreiben ein. Ihre Exchange-Server seien nach Kenntnis des BSI von Sicherheitslücken betroffen und "mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert".

Das BSI stützt sich dabei auf Zahlen der IT-Sicherheitssuchmaschine Shodan. Die Groupware-Software von Microsoft wird vor allen Dingen für die Abwicklung von Mail-Verkehr, Führung von Adressbüchern, die Terminverwaltung und die Organisation von Arbeitsgruppen genutzt.

Herstellerin Microsoft hatte bereits am 3. März 2021, genauer in der Nacht auf den Mittwoch, ein Sicherheitsupdate für vier der bekanntgewordenen Sicherheitslücken herausgegeben. Das IT-Sicherheitsunternehmen Kaspersky hat inzwischen die Erkennungsnamen von insgesamt sechs Exchange-Sicherheitslücken veröffentlicht.

Erste Hinweise auf diese Schwachstellen hatte zuvor bereits am 28. Februar das IT-Sicherheitsunternehmen Volexity aus dem US-Bundesstaat Virginia gegeben. Die Volexity-Analysten hatten mehrere Angriffe gefunden, die über sogenannte Web-Shells, also Eingabe-Werkzeuge für Systembefehle, ausgeführt worden waren.

Dabei handelt es sich um ziemlich einfach zu bedienende Hacking-Werkzeuge, die von jedem Browser aus eingesetzt werden können. Dafür werden unterschiedliche Sicherheitslücken ausgenutzt.

Mit den jetzt bekannt gewordenen Schwachstellen können Kriminelle nicht nur Mail, Adressbücher und Termine angreifen und manipulieren bzw. den Mailverkehr lahmlegen oder umleiten. Vom Exchange-Server aus können auch leicht andere Server im Netzwerk ausspioniert, abgeschaltet oder  kompromittiert werden.

Exchange-Server besitzen "standardmäßig in vielen Infrastrukturen hohe Rechte im Active Directory", warnt das Bundesamt für Sicherheit in der Informationstechnik. Überwiegend sind das direkte Administratorenrechte, mit denen ein Unternehmensnetzwerk dann komplett von Kriminellen übernommen werden kann.

Wie viele Unternehmen mit ihren Servern betroffen sind, weiß aktuell niemand genau. Das BSI geht von mehreren zehntausend Servern aus. Das IT-Unternehmen Kaspersky hat 1.200 Angriffe seit Anfang März ausgewertet und kommt dabei zu dem Ergebnis, dass die größte Zahl der attackierten Nutzer aus Deutschland stamme, nämlich 26,93 Prozent. Danach folgen Italien mit 9 Prozent, Österreich mit 5,72 Prozent, die Schweiz mit 4,81 Prozent und die USA mit 4,73 Prozent.

Für die USA nennt die Sicherheitsberatung Krebs die Zahl von 30.000 Organisationen, die bereits gehackt worden seien. "Das BSI empfiehlt dringend das Einspielen der von Microsoft bereitgestellten Sicherheitsupdates", heißt es in der BSI-Warnung.

Allerdings komme erschwerend hinzu, dass viele tausend Systeme allein in Deutschland "noch Schwachstellen aufweisen, die seit über einem Jahr bekannt sind und noch nicht gepatched wurden". Deshalb rechnet man im Lagezentrum des BSI auch mit erheblich vielen Folgeschäden aus Angriffen unter Ausnutzung dieser Sicherheitslücken.

Microsoft hat inzwischen Prüfwerkzeuge zur Verfügung gestellte, mit denen Administratoren von Exchange-Servern testen können, ob ihre Systeme mit dem Hackingwerkzeug "Web-Shell" angegriffen worden sind. Bei positivem Prüfergebnis wird es nach Ansicht von Sicherheitsexperten nicht immer ausreichen, die Sicherheitslücken mit den Microsoft-Updates zu schließen.

Vielmehr sei damit zu rechnen, dass in solchen Fällen weitere Schadsoftware bereist eingeschleust sei. Umfangreiche weitere Sicherheitstests und teilweises Neuaufsetzen der Systeme werden in solchen Fällen unvermeidlich sein. Es kommen also noch harte Arbeitswochen mit vielen Überstunden und Nachtschichten auf die Administratoren und die Mitarbeiter im BSI-Lagezentrum zu.