Microsoft meldete in den letzten Tagen einen massiven Angriff auf die Exchange Server. Angreifern ist es gelungen, über vier Sicherheitslücken in die Microsoft Exchange Server Versionen 2013 bis 2019 einzudringen. Obwohl das ganze Ausmass des Angriffs noch nicht bekannt ist, dürfte er Hunderttausende von Organisationen weltweit betreffen. Damit handelt es sich um einen der bisher weitreichendsten Hackerangriffe. Laut den IT-Sicherheitsexperten von Kaspersky gehören Deutschland und die Schweiz dabei zu den am stärksten betroffenen Ländern.
Den Hackern ist es gelungen, in die betroffenen Systeme einzudringen und sogenannte Web-Shells zu installieren. Über diese können sie auch nach den Sicherheitspatches auf die Exchange-Server und Mails zugreifen. Gefährlich ist, dass die Angreifer die Web-Shells nutzen können, um weitere Malware-Tools wie PowerShell-Skripte, Mimikatz oder Cobalt Strike im Firmennetzwerk zu verteilen. Dadurch sind die Opfer der Gefahr ausgesetzt, dass sich die Angreifer im gesamten Netzwerk ausbreiten, Daten kompromittieren, stehlen und gegen Lösegeld verschlüsseln (Ransomware-Angriff).
Das Ausmass des Angriffs ist beispiellos. Renommierte IT Security Medien berichten, dass selbst wenn am Tag der Ankündigung gepatcht wurde, die Web-Shells mit hoher Wahrscheinlichkeit auf Servern installiert wurde. Diejenigen, die noch nicht gepatcht haben, sind mit noch höherer Wahrscheinlichkeit vom Angriff betroffen.
Angesichts dieser kritischen Situation hat die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) eine Notfallverordnung erlassen: Alle zivilen und von der Regierung betriebenen Microsoft Exchange-Server sollten sofort aktualisiert oder, falls erforderlich, von den Systemen getrennt werden.
Obwohl die Angreifer sehr raffiniert vorgingen, kann ExeonTrace helfen, den Hack zu erkennen. Die Erkennung basiert auf zwei Funktionalitäten von ExeonTrace:
ExeonTrace verfügt über mehrere Modelle zur Erkennung von unregelmässigen Datenflüssen und Mustern, die auftreten, wenn Angreifer versuchen, sich innerhalb eines Netzwerks auszubreiten (Internal Reconnaissance, Lateral Movement und Data Exfiltration). Wir empfehlen, die von ExeonTrace ausgelösten Alarme für On-Premise Microsoft Exchange Server mit höchster Priorität zu behandeln. Typische Anomalien sind:
Je nach Anwendungen, die auf den Exchange-Servern laufen, können einige dieser Kommunikationsmuster für die automatische Erkennung unbemerkt bleiben. Daher empfehlen wir dringend, zusätzlich zur automatischen Erkennung eine manuelle Analyse durch ExeonTrace durchzuführen.
Die Flussvisualisierung "Client server pairs" ist für diese Untersuchung besonders leistungsfähig. Dort kann nach den Exchange-Servern gefiltert werden, indem deren IPs in die Suchleiste oben auf der Seite eingegeben werden. Wir empfehlen, die drei Verbindungsmatrix-Visualisierungen (interner Verkehr/ausgehender Verkehr/eingehender Verkehr) hinsichtlich der folgenden Aspekte zu überprüfen:
Zusammenfassend lässt sich sagen: Sofern es nicht bereits vor dem Angriff Anwendungen auf dem Exchange-Server gab, die ähnliche Datenströme erzeugt haben, erkennt ExeonTrace die Anomalien mit hoher Wahrscheinlichkeit automatisch. Die zusätzliche manuelle Analyse des Exchange-Servers durch die Flussvisualisierung von ExeonTrace gibt Ihnen die zusätzliche Sicherheit.
Angebot: Um gezielt eine mögliche Infektion durch den Microsoft Exchange-Hack zu erkennen, bieten wir 4 kostenlose Beratungsstunden an. Die Beratung wird von unseren Sicherheitsexperten durchgeführt, die die oben genannte Analyse durchführen und die spezifischen Ergebnisse mit dem Kunden besprechen. Dieses Angebot gilt für alle neuen ExeonTrace-Abonnements, die bis zum 30. April 2021 abgeschlossen werden. Falls Sie sich für dieses Spezialangebot interessieren, kontaktieren Sie bitte unseren COO, Carola Hug, carola.hug@exeon.com
