Exchange Server Exploits verhindern
Das BSI warnt derzeit vor leicht angreifbaren Exchange Servern und rät zum sofortigen Patching. Wir zeigen Dir, wie Du Dein Netzwerk noch besser schützen und die Gefahr von Exchange Server Exploits minimieren kannst.
Ende März gab das BSI eine Warnung heraus, dass mindestens 17.000 Instanzen von Microsoft-Exchange-Servern in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar sind.
Als Lösung rief das BSI die Betreiber der Instanzen dazu auf, „aktuelle Exchange-Versionen einzusetzen, verfügbare Sicherheitsupdates einzuspielen und die Instanzen sicher zu konfigurieren.“ Das ist selbstverständlich immer richtig und das Erste, was getan werden sollte, um sich vor Exchange Server Exploits zu schützen. Wir zeigen darüber hinaus, wie dieses Problem selbst erkannt werden kann und wie trotz einer solchen Schwachstelle das eigene Netzwerk nicht schutzlos gelassen wird.
Information über Schwachstelle erhalten
Bevor es darum geht, was mit ausnutzbaren Exchange Servern gemacht werden sollte, steht eine andere Frage im Raum: Wie bekomme ich zeitnah mit, dass eine solche Schwachstelle besteht? Klar, es gibt die Möglichkeit, aufmerksam die Nachrichten, Social Media oder BSI-Meldungen zu verfolgen. Allerdings birgt das große Risiken: Zum einen besteht immer die Gefahr, dass etwas durchrutscht und zum anderen ist die Schwachstelle dann schon einige Zeit alt und könnte längst ausgenutzt sein.
Ein Schwachstellenmanagement, wie beispielsweise von Tenable, hilft hier weiter. Das Vulnerability Management (VM) kennt die eigenen Schwachstellen im Netzwerk, wie einen leicht angreifbaren Exchange Server. Wie schnell Tenable ist, haben sie zum Beispiel bei der log4j-Sicherheitslücke gezeigt, wo sie innerhalb von 24 Stunden ein Scantemplate zum Auffinden der Schwachstellen bereitgestellt hatten. Das war weltweit einzigartig.
Ein Schwachstellenmanagement bietet jedoch noch viel mehr. Es liefert zeitnah genaue Informationen über die gesamte Angriffsoberfläche, einschließlich aller Assets und Schwachstellen. Außerdem bietet Tenable einen risikobasierten Überblick, der eine Gefährdung exakt nachvollziehen lässt, denn Tenable besitzt einen eigenen Risk Score, der nicht wie der CVSS bei einem Exploit nur einmal erstellt, sondern durchgehend angepasst wird. So ist immer klar, welche Gefahren gerade akut sind und als erstes behoben werden müssen. Hierzu gibt es dann sogar Arbeitsanweisungen, wie die Schwachstelle am schnellsten geschlossen werden kann und schafft Transparenz durch die Status der Patchaktivitäten. Das hierzu erstelle Compliance Reporting bietet obendrein eine zusammenfassende Übersicht aller unterstützten Compliance-Standards und Frameworks.
Das eigene Netzwerk nicht schutzlos lassen
Das Hauptproblem, das vom BSI angemerkt wurde, ist, dass die Exchange Server direkt aus dem Internet erreichbar sind. So warnt das BSI, dass „rund 45.000 Microsoft-Exchange-Server in Deutschland […] derzeit ohne Beschränkungen aus dem Internet erreichbar sind.“ Das birgt immer die Gefahr, dass der Exchange Server auf Dauer überwunden werden kann. Noch leichter wird es, da hiervon laut dem Ministerium etwa zwölf Prozent so veraltet seien, dass es für sie keine Sicherheitsupdates mehr gibt. Zudem komme noch, dass weitere rund 25 Prozent aller Server zwar mit aktuellen Versionen Exchange 2016 und 2019 betrieben werden, aber über einen veralteten Patch-Stand verfügen. Das ergibt, dass mindestens 37 Prozent aller offen aus dem Internet erreichbaren Microsoft-Exchange-Server verwundbar sind. Eine immense Zahl. Und hier muss die erste Lösung heißen: Patchen und erneuern.
Die Lösung für alle!
Es gibt jedoch auch eine Lösung für alle rund 45.000 Exchange Server mit direkter Erreichbarkeit aus dem Internet: Eine Security Appliance zwischen Exchange Server und dem Internet platzieren. Dies geht zum Beispiel mit der E-Mail-Security-Lösung von proofpoint. Das erledigt nicht die Erneuerung oder das Patchen, aber der direkte Zugriff von außen wird so verhindert, sodass eine noch nicht geschlossene Sicherheitslücke nicht sofort ausgenutzt werden kann. Und auch ein neuer Exchange Server auf dem neuesten Stand, der direkt erreichbar ist, ist eine Gefahr, da er frei angreifbar ist. Mit einer Security Appliance dazwischen treffen Angriffe zunächst auf die Security von proofpoint und können den Exchange Server nicht erreichen – egal ob er gerade verwundbar oder nicht.
Die E-Mail-Security-Lösung von proofpoint leistet jedoch noch mehr. So schützt die Lösung vor Engineering-Angriffen wie Phishing und E-Mail-Betrug. Die erweiterbare Plattform für E-Mail-Sicherheit blockiert E-Mail-Bedrohungen mit oder ohne Malware wie E-Mail-Betrug per Business Email Compromise (BEC, auch als Chefmasche bezeichnet). Außerdem analysiert proofpoint den weltweiten E-Mail-Traffic. So schützt es vor gezielten Angriffen oder Kampagnen, die gerade weltweit angewandt werden. Bei all dem steht der Menschen im Vordergrund. Proofpoint erkennt, wer wie häufig mit welchen Methoden angegriffen wird, ob jemand seine Schulungen nicht gemacht hat und vielleicht auch noch hohe Privilegien besitzt. Menschen machen Fehler. Und diese Menschen – vor allem die leichtverletzbaren – schützt proofpoint.
Fazit
Das Patching von Exchange Servern ist unverändert wichtig und reduziert die Gefahr eines erfolgreichen Angriffs. Wer jedoch wirklich sicher gehen möchte, nutzt ein Schwachstellen-Management und platziert eine Security Appliance zwischen dem Internet und dem eigenen Exchange Server.
