Anfang März 2021 wird durch Informationen von Microsoft und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bekannt, dass vier Zero-Day-Sicherheitslücken in Microsoft Exchange Servern existieren.

Im Internet erreichbare MS-Exchange-Server, die nicht auf dem aktuellen Patch-Stand sind und mit bestimmter Konfiguration eingesetzt werden, können angegriffen und in sie leicht eingebrochen werden. Nach dem Einbruch können Hintertüren versteckt eingebaut und / oder Daten geklaut werden.

Nach Analysen Mitte März sind weltweit hundertausende MS-Exchange-Server mit Hintertüren versehen worden.

Grundproblem

Ist ein Dienst normal erreichbar aus dem Internet, ist im Falle X schnellstmöglich ein Patch einzuspielen, sodass die Einbruchsstelle in der Software geschlossen wird. Bis dahin kann eingebrochen werden und da die Wahrscheinlichkeit dessen besteht, muss sehr genau nach Einbrüchen geschaut werden. Der Arbeitsaufwand und die Kosten sind daher in der Situation und Folge sehr hoch.

Mögliche Fragen

• warum muss der Dienst aus dem Internet direkt erreichbar sein?
• wenn der Dienst aus dem Internet erreichbar sein muss,
  • kann eine robustere Software-Anwendung (Proxy) dazwischen geschaltet werden?
  • ist ein Notfallplan vorhanden und wird dieser regelmäßig getestet?
  • erhält die IT-verantwortliche Stelle Sicherheitshinweise vom Hersteller der Anwendung und werden diese dann auch mgehend wahrgenommen, sodass schnell gehandelt werden kann?
  • existiert ein Patch-Management?
  • existiert Monitoring und besteht die Möglichkeit, über Anonamlien informiert zu werden?

Beste Lösung

Zugriff auf den Dienst nur intern und aus dem Internet via VPN in dieses Intranet. Damit reduziert sich die Einbruchsmöglichkeit auf den Dienst VPN, der in Unternehmen in der Regel eh vorhanden ist. Für die Nutzer:innen des Dienstes wird anfänglich der Zugang ggf. ein wenig unbequemer sein, nach Etablierung des Vorgehens mit VPN fällt der gefüllte Mehraufwand aber nicht weiter ins Gewicht, insbesondere dann, wenn den Nuter:innen der Hintergrund und die langfristigen Vorteile mitgeteilt werden.

Hilfsmittel

• umfangreiche FAQ des BayLDA: Sicherheitslücken bei Microsoft Exchange-Mail-Servern
• strukturierte Praxishilfe MICROSOFT EXCHANGE SECURITY CHECK & INCIDENT RESPONSE vom Bayerischen Landesbeauftragte für den Datenschutz mit dem BayLDA
• Checkliste Patchmanagement im Alltag des BayLDA nach Art.32 DSGVO
• BSI zu Kritische Schwachstellen in Exchange-Servern mit Links zum informativen Livestream vom 11.03.2021 zum Thema und weiteren Hilfsmitteln wie "Advanced Persistent Threats - Teil 4 Reaktion - Technische und organisatorische Maßnahmen für die Vorfallsbearbeitung [TLP-WHITE] v2.2" oder "Microsoft Exchange Schwachstellen Detektion und Reaktion"

Quellen

• 2021-03-12, heise, Analyse: Exchange und die Cyber-Abschreckungsspirale