Interviews
Angriff per Mail: Sicherheitslücke in MS Exchange
Anfang März wurde eine Sicherheitslücke im E-Mail-Dienst MS Exchange Server bekannt. Nach einer Warnung von Microsoft sorgten sich zunächst US-Organisationen. In Deutschland informierte inzwischen das Bundesamt für Sicherheit in der Informationstechnik (BSI) über die Risiken.
Das Problem: Mail-Systeme von Unternehmen und Behörden sind durch Cyberkriminelle angreifbar. Bei den betroffenen Anwendern besteht erhöhte Gefahr, dass unbefugt auf gespeicherte Daten wie E-Mails, Adressbücher und Kalender zugegriffen wird. Über die technischen Hintergründe sprachen wir mit Steffen Ullrich, IT-Sicherheitsexperte bei genua.
Wir erleben gerade eine große Aufmerksamkeit für einen bestimmten E-Mail-Dienst. Können sich Anwender anderer Systeme sicher fühlen oder handelt es sich um ein generelles Problem, das mit jedem Mail-System auftreten kann?
Steffen Ullrich: Das aktuelle Problem ist beschränkt auf Microsoft Exchange Server-Installationen, bei denen das Web Interface direkt zum Internet und damit Richtung Angreifer exponiert ist. Dieses Web Interface stellt den Zugang zu den Exchange-Diensten wie Mail und Kalender für den Browser bereit, aber auch für Applikationen wie MS Outlook. Das Sicherheitsproblem besteht darin, dass durch diesen Web-Zugang die interne Infrastruktur von MS Exchange ohne Authentisierung erreichbar und kompromittierbar ist.
In der Vergangenheit traten durchaus ähnlich kritische Probleme mit anderen Mail-Systemen auf. Beispielsweise gab es 2019 einen Bug im Mail-Server Exim, bei dem ebenfalls ein Angreifer ohne Authentisierung in der Lage war, Code mit Systemrechten auf dem Mail Server auszuführen. Aber auch für MS Exchange ist dieses nicht die erste kritische Lücke. In den letzten Jahren wurden schon mehrere hochkritische Sicherheitslücken im Produkt bekannt. Und auch das aktuelle Problem scheint wohl nicht die letzte Lücke in MS Exchange für dieses Jahr zu sein. So hat die NSA gerade weitere kritische Lücken an Microsoft gemeldet.
Wie lassen sich die aktuelle Sicherheitslücke und die Folgen technisch beschreiben?
Steffen Ullrich: Es sind gleichzeitig mehrere Sicherheitslücken bekannt worden. Die wesentliche – „ProxyLogon“ – ermöglicht es einem nicht authentisierten Angreifer, die Authentisierung im Web Interface zu umgehen und Aktionen in der internen Infrastruktur von MS Exchange auszuführen.
Das erlaubt ihm z. B. den Zugriff auf die gespeicherte Mail. Über die weiteren bekanntgewordenen Sicherheitslücken kann der Angreifer dann die komplette interne Infrastruktur des MS Exchange übernehmen. Da diese typischerweise mit dem internen Netz eng gekoppelt ist, kann der Angreifer auf weitere interne Ziele zugreifen. Entsprechend ist auch die Empfehlung, nicht nur zu patchen, sondern die interne Infrastruktur auf eine potentielle Kompromittierung hin zu untersuchen.
Wodurch wird die Sicherheitslücke konkret verursacht?
Steffen Ullrich: Die Umgehung der Authentisierung in ProxyLogon ist möglich, weil der Web Server für das Web Interface die Eingabedaten nicht ausreichend verifiziert. Insbesondere werden vom Client, also vom Angreifer, geschickte Daten unter der Annahme durchgelassen, dass es die gleichen und unveränderten Daten sind, die vorher vom internen Server über den Web Server zum Client geschickt wurden. Letztlich handelt es sich also um eine unzureichende Validierung von Eingabedaten und einen unzureichenden Schutz von server-generierten Daten gegen Manipulationen im Client. Beides sind leider recht typische Probleme für Web-Applikationen, obwohl dafür prinzipiell bewährte Schutzmaßnahmen existieren.
Kann der Einsatz von IT-Security-Maßnahmen Abhilfe schaffen?
Steffen Ullrich: Der Idealfall wäre die Nutzung proaktiver Lösungen, welche Angriffe direkt abwehren. Unglücklicherweise setzen diese aber im Allgemeinen voraus, dass die Details des Angriffs bereits bekannt sind, um darauf aufbauend passende Regeln für eine Web Applikation Firewall (WAF), eine Firewall oder ein Intrusion Detection System (IDS) zu implementieren. Diese Regeln sind dazu dann oftmals auch noch spezifisch für einen bestimmten bekannten Exploit und lassen sich durch Modifikationen des Angriffs umgehen.
Proaktiv kann man aber die Angriffsfläche reduzieren, indem man MS Exchange gar nicht erst direkt aus dem Internet erreichbar macht. Ein üblicher Weg ist es, den Zugriff von außen sowohl auf die interne Firmeninfrastruktur im Allgemeinen als auch auf das MS Exchange im Speziellen nur über ein VPN zu ermöglichen. Damit muss ein Angreifer eine initiale Hürde der Authentisierung am VPN erst einmal überwinden. Allerdings sollte man auch beim VPN auf die Sicherheit achten. So wurden 2019 mehrere hochkritische Sicherheitslücken in bekannten und viel benutzten VPN-Lösungen von Palo Alto Networks, Fortinet und Pulse Secure gefunden, ironischerweise von der selben Firma DEVCORE, die jetzt die Lücken in MS Exchange gefunden hat. genua bietet VPN durch Lösungen wie genuscreen, enucard und genuconnect an. Diese sind extern evaluiert worden und z. B. für VS-NfD und NATO RESTRICTED zugelassen.
Proaktiv kann man ebenfalls die Infrastruktur von MS Exchange vom Rest des Netzes segmentieren und so die Auswirkungen einer erfolgreichen Kompromittierung von MS Exchange auf das interne Netz begrenzen. Mittels genuscreen lässt sich eine Separation auf Portebene vornehmen, wie es von Microsoft in Network ports for clients and mail flow in Exchange beschrieben ist. Mit cognitix Threat Defender sind darüber hinaus eine granulare Mikrosegmentiertung auf Applikationsebene auch innerhalb eines Netzsegments, ein leistungsfähiges Monitoring sowie die Einbeziehung von IOC (Indicator of Compromise, z. B. IP-Adressen bekannter Angreifer oder bekannte Malware Tools) und IDS-Signaturen möglich. Das erlaubt nicht nur eine detailliertere Separation, sondern auch die unmittelbare Reaktion auf durch IOC und IDS-Regeln erkannte Gefahren. Und das mit einem transparenten Einsatz als Bridge, d. h. ohne Rekonfiguration der eigenen Netzinfrastruktur.
Lässt sich das Sicherheitsproblem anderweitig vermeiden? Gibt es sichere Alternativen?
Steffen Ullrich: Wir müssen uns bewusster werden und akzeptieren, dass die in sensitiven Netzen genutzte Software nicht immer den Sicherheitsbedürfnissen genügt. Im besten Fall können wir bei Sicherheitsproblemen diese Software nicht oder nicht vollständig nutzen. Im schlimmsten Fall wurde durch das Sicherheitsproblem die komplette Infrastruktur kompromittiert. Anwender kommen dann nicht mehr an ihre eigenen Daten heran, sensitive Daten sind veröffentlicht oder es wurden gar Dritte in Mitleidenschaft gezogen.
Ransomware nutzt bereits massiv die aktuelle MS Exchange-Lücke als Einfallstor aus und vor nur wenigen Monaten wurde die Infiltration sensitiver und auch staatlicher Infrastrukturen über die kompromittierte Netzwerk-Management-Software Solarwinds bekannt. Vielen sind auch noch die Auswirkungen von WannaCry und NotPetya in Erinnerung.
Der Einsatz und Umgang mit Software muss daher in ein Risikomanagement einbezogen werden. Das kann bedeuten, eine Software aus Sicherheitsgründen nicht einzusetzen. Oder es kann bedeuten, einfach nur zu hoffen, dass nichts passiert. Man kann auch gezielt versuchen, den möglichen Schaden zu begrenzen, z. B. durch eine explizite Beschränkung der Software auf das erwartete Verhalten oder durch extensives Monitoring des internen Netzes, um einen potentiellen Angreifer aufgrund seines ungewöhnlichen Verhaltens zu entdecken. Als Technologien können dabei eine granulare proaktive Mikrosegmentierung verbunden mit Monitoring helfen. Durch eine frühzeitige und evtl. automatisierte Reaktion auf erkannte Gefahren können diese Risiken besser beherrscht werden – so wie es durch den cognitix Threat Defender ermöglicht wird.
Danke für das Gespräch!
Bildquelle: © rzoze19 – stock.adobe.com