Am 11. Februar 2020 wurde eine schwerwiegende Sicherheitslücke in Microsoft Exchange Servern bekannt und mit CVE-2020-0688 gepatcht. Angreifer können darüber mit recht einfachen Mitteln fast die gesamte Windows-Infrastruktur übernehmen. Es muss lediglich das Exchange Control Panel Interface erreichbar sein (was in der Regel der Fall ist, wenn Outlook Web Access aktiviert ist) und eine beliebige gültige Username-Passwort-Kombination gefunden werden – dank Phishing bzw. Datenleaks und Passwort-Doppelnutzung keine schwere Aufgabe.

Die Schwere der Sicherheitslücke wurde auf der zehnteiligen Skala des National Іnstitute of Standards and Technology mit 8,8 bewertet. Ende Februar starteten die ersten Angriffe verschiedener APT-Gruppen. [1]

CERT.at eruierte und informierte betroffene Systeme

Das österreichische CERT.at hat im April 2020, zwei Monate nach der Veröffentlichung des Sicherheitsupdates, nach verwundbaren Systemen gesucht. Österreichweit (und ohne Anspruch auf Vollständigkeit) wurden mehr als 4.500 ungepatchte Exchange Server gefunden.

Trotz erfolgter Warnung an die Betroffenen sieht die Lage bei einem zweiten Test im Oktober 2020 nicht viel besser aus. [2] Weniger als ein Prozent dürfte seither gepatcht worden sein. Die erneute Suche mit verbesserten Erkennungsmethoden kommt auf einen Anteil an verwundbaren Servern von 47,99%. Dabei gilt: Je älter die Version, desto anfälliger. Microsoft Exchange Server 2013 sind laut der Erhebung zu 54,52% betroffen, 2016 zu 51,53%, 2019 „nur“ zu 24,59%.

Windows Small Business Server verwundbar

Otmar Lendl vom GovCERT Austria weiß: „Insbesondere Windows Small Business Server könnten für einige der noch ungepatchten Server verantwortlich sein.“ Der Support für die seit Jahren nicht mehr weiterentwickelten Windows Small Business Server endete mit 14. Jänner 2020. Das Sicherheitsupdate kam für sie also um wenige Wochen zu spät. Sicherheit bietet nur die Umstellung auf ein aktuelles System – das Supportende für Microsoft Office 2010 mit 13. Oktober ist ein weiterer guter Grund dafür.

„APT-Angriffe richten sich nicht ausschließlich gegen Großunternehmen oder Regierungsorganisationen“, warnt Security-Experte Benjamin Paar von IKARUS: „Für die Kriminellen lohnen sich auch Angriffe auf kleine Firmen, beispielsweise um größere Kampagnen finanzieren zu können. Zudem dienen Unternehmen, die weniger gut geschützt sind, oft als Einfallstor für ein größeres Ziel.“ Bereits wenige Klicks könnten Angriffe erschweren: „Installieren Sie noch heute fehlende Sicherheitsupdates und planen Sie diese periodisch fix ein – ohne Ausreden!“, rät Benjamin Paar: „Achten Sie auch auf sichere Passwörter bzw. -phrasen, löschen Sie nicht mehr benötigte Accounts und schulen Sie Ihre MitarbeiterInnen regelmäßig darin, Gefahren erkennen zu können!“

Jetzt Updates einspielen oder Systeme umstellen

„Wir haben die BetreiberInnen der verwundbaren Instanzen erneut kontaktiert und sie gebeten, die Updates dringend einzuspielen“, resümiert Otmar Lendl den jüngsten Scan des österreichischen CERT und empfiehlt augenzwinkernd: „Sollten Sie Personen kennen, die einen Exchange Server einsetzen, fragen Sie sie doch beim nächsten Treffen nach ihrem Update-Status!“.

Generell reiche es heutzutage jedoch nicht mehr, nur Patches einzuspielen, um vor Angriffen sicher zu sein. „Die Professionalität der Ransomware-Angriffe ist in den letzten Jahren massiv gestiegen. Firmen müssen sich gegen Angriffe wehren, die vor vier Jahren nur Nationalstaaten zugetraut wurden“, so Otmar Lendl: „Darauf adäquat zu reagieren ist nicht einfach. Es braucht eine umfassende Sicherheitsarchitektur mit den dazugehörigen Prozessen. Das ist nicht gratis, das benötigt Geld, Zeit und passendes Personal – sowie eine Kulturänderung bei allen Mitarbeitern. Denn Sicherheit und Effizienz sind oft nicht leicht unter einen Hut zu bekommen.“

[1] https://www.volexity.com/blog/2020/03/06/microsoft-exchange-control-panel-ecp-vulnerability-cve-2020-0688-exploited/

[2] https://cert.at/de/aktuelles/2020/10/microsoft-exchange-cve-2020-0688-revisited