Angriff auf Exchange Server durch Hafnium Exploit – so schützen Sie Ihre Systeme

Exchange Server Hafnium Exploit

Seit März 2021 sind diverse Microsoft Exchange Dienste Opfer von Angriffen durch den sogenannten Hafnium Exploit geworden. Wir geben einen Überblick über die Thematik und zeigen, wie Sie Ihre Systeme schützen können.

Unternehmen stellen häufig Exchange Dienste wie ActiveSync (Abruf der Mails per Mail-App auf dem Handy), OWA (Outlook Web Access – Zugriff auf Outlook über eine Webschnittstelle) und damit meist auch unwissentlich ECP (Exchange Admin-Konsole) für den Zugriff aus dem Internet für Ihre Mitarbeiter zur Verfügung. Diese Dienste werden aktuell missbraucht. Der Zugriff geschieht dabei von extern über das Internet-Protokoll https auf Port 443.

Wie heise.de berichtet:

Die aktuelle Lücke in Exchange Servern ermöglicht Angreifern, die reguläre Authentifizierung zu umgehen und sich als Administrator eines Exchange-Servers anzumelden. Im Rahmen der Untersuchungen fanden Sicherheitsforscher eine weitere Schwachstelle, über die sie Dateien für eine Remote Code-Ausführung (RCE) in Exchange platzieren konnten. Daraus bauten sie einen funktionsfähigen Proof of Concept Exploit. Mit dem ließ sich die Exchange-Authentifizierung umgehen und der Server kompromittieren.
Da ein Exchange Server im Active Directory hohe Rechte besitzt, gibt ein erfolgreicher Angriff auf das E-Mail-System dem Angreifer auch die Möglichkeit das Active Directory anzugreifen und hier Daten abzugreifen, zu verändern und weitere interne System anzugreifen.
Exploits für die ProxyLogon-genannte Lücke in Exchange Server kursieren bereits, nun kommt auch noch Ransomware dazu. Erste Nutzer berichten von verschlüsselten Dateien.

Wie kann ich mich schützen?

Intrusion Prevention Service

Watchguard hat zum Schutz die Signaturen seines Intrusion Prevention Service (IPS) ergänzt und veröffentlicht. Diese finden sie auch im Watchguard Security Portal: hier nach „CVE-2021-26“ suchen. 
Die Signaturen Ihrer Firewall sollten mindestens die Version 18.137 aufweisen.

Die entsprechenden Signaturen finden Sie im WatchGuard-Security-Portal:

Watchguard Security Portal

 

 

 

 

 

 

 

 

1. Folgende Watchguard Sicherheits-Dienste für eingehende Exchange Policies aktivieren:

Intrusion Prevention Service

IPS erkennt und blockiert die erste Stufe des Angriffs der Exploit-Kette.
 Voraussetzung ist eine aktivierte HTTPS-Deep-Inspection auf einer HTTPS-Proxy-Action, da das Angriffspattern natürlich nur dann erkannt wird, wenn die Firewall den verschlüsselten HTTPS-Stream aufbrechen kann.

Gateway AntiVirus

Beinhaltet mehrere Signaturen zur Erkennung und Blockierung der bei dem Angriff verwendeten WebShells.
 Voraussetzung ist ein HTTP-Proxy mit aktiviertem Gateway-Antivirus und für HTTPS ebenfalls eine aktivierte HTTPS-Deep-Inspection auf der ausgehenden HTTPS-Proxy-Action, mit der der Zugriff vom Exchange-Server ins Internet geregelt ist.
 In diesem Fall würde der Download der WebShells von HTTPS-Servern geprüft, erkannt und unterbunden werden.

APT Blocker

APT Blocker erkennt erfolgreich die bösartigen PowerShell-Backdoors, die bei diesem Angriff verwendet werden.
 Auch hier wird ausgehend eine entsprechende Proxy-Action für HTTP und HTTPS mit Deep Inspection benötigt.
 Der APT-Blocker im TDR-Host-Sensor kann hier ebenfalls hilfreich sein.

Geolocation

Auch die Verwendung der Geolocation kann eine sinnvolle Hürde darstellen. Aktivieren Sie in den Exchange Policies die Geolocation mit Einschränkung nur der für Sie relevanten Länder. Bspw. nur Europa erlauben (beachten Sie die IP-Locationen der E-Mail-Server Ihrer Kunden). Dies ist natürlich kein 100%iger Schutz, aber wenn der Großteil aller IPs im Internet bereits beim Zugriff auf den OWA/Exchange geblockt wird, können diese auch keinen Angriff ausführen. Natürlich wären die Server weiterhin von System in den erlaubten Ländern/Regionen aus angreifbar.

2. Access Portal in Verbindung mit Microsoft Exchange (Pre-Authentication):

Die erste Angriffsstufe für diese Bedrohung erfordert einen Exchange-Server, der dem Internet ausgesetzt ist (wie z.B: ein einfaches Port-Forwarding mit SNAT). Sie können diese Stufe des Angriffs entschärfen, indem Sie den Exchange-Server hinter dem Access Portal der Firebox schützen. In diesem Falle läuft über das Access Portal eine sog. Pre-Authentication, so dass nur Requests mit validen Credentials überhaupt bis auf den Exchange durchgereicht werden.

Zusätzlich hat dies den Vorteil, dass die Authentifizierung gegen die E-Mail-Domain durchgeführt wird und der Exchange nur noch über https://<domain-name>/ erreichbar ist, aber nicht mehr unter https://<ip>; d.h. ein reiner Scan auf einen IP-Range und dort auf der IP zufällig laufender OWA-Instanzen greift von vornherein ins Leere.

Mit Hilfe von Reverse-Proxy-Aktionen in der Access Portal Konfiguration können Remote-Benutzer ohne VPN-Client eine sichere Verbindung zu internen Webanwendungen und Microsoft Exchange Diensten herstellen.

  • Mobile Geräte mit Microsoft Mail-Clients (über ActiveSync)
  • Microsoft Outlook
  • Microsoft Outlook-Webzugriff
  • Microsoft Outlook Web Access über das Access Portal (mit automatischer Anmeldung)

Sollten Sie weitere Fragen zum Schutz Ihrer Systeme gegen Hack von Exchange-Servern haben, kontaktieren Sie uns gerne!

 

Autor: Christopher Pohley, Teamleiter/Produktmanager Hosting Services