IT-Dokumentation - Der Blog

Microsoft Exchange – Sicherheitslecks gibt es immer

Do, 11. März 2021

Eine schöne neue Welt

In der heutigen Geschäftswelt geht es in erster Linie um Kommunikation. Das war schon vor vielen Jahrzehnten der Fall und gilt heute mehr denn je. Im letzten Jahrzehnt kam zur Kommunikation auch die Mobilität mit dazu. Waren zunächst aufgrund von teuren Datentarifen nur wenige Dienste sinnvoll, die im mobilen Betrieb genutzt wurden, spielt das im Jahr 2021 keine Rolle mehr.

Alles ist digital vernetzt, egal ob am Arbeitsplatz mit einem zentralen Internetzugang oder unterwegs mit dem Mobilgerät und „over the air“. Wir greifen auf alles zu. Dazu gehören natürlich neben unseren Kurznachrichten via Messenger natürlich auch die Termine aus dem Outlook-Kalender und eine Synchronisation der E-Mails vom firmeneigenen Exchange-Server.

Es hätte so schön sein können

Damit ein Unternehmen heute einen Exchange-Server bereitstellt, brauchen diese keinen Hexer oder Spezialisten mehr. Mit Anleitungen aus dem Internet und ein wenig Experimentierfreudigkeit wurde schnell ein Windows-Server mit der Rolle der Exchange Dienste versehen. Intern eingebunden in das Active Directory, versehen mit den erforderlichen Rechten, um einen problemlosen und vor allem immer bequemen Betrieb zu ermöglichen. Ist so ein Server erst einmal eingerichtet und bedient eine Vielzahl an Postfächern, Konten mit eigenen Kalendern, Ressourcen und öffentlichen Ordnern, steht man früher oder später unweigerlich vor der Aufgabe, dies auch online zur Verfügung zu stellen.

Und siehe da, auch das lässt sich relativ einfach bewerkstelligen. Schnell ist die WEB-Oberfläche für Mail- und Kalenderdienste freigegeben (OWA – Outlook Web Access) und Geschäftsführung bis hin zum Vertriebsmitarbeiter erleben beim Abrufen der Daten von unterwegs eine innere Befriedigung.

IT-Administratoren stehen oft vor Kompromissen

Viele IT-Verantwortliche wissen, dass eine umfangreiche Absicherung der IT nicht nur viel Zeit, sondern auch viel Geld in Anspruch nimmt. Allerdings lassen sich auch Dienste ohne weitere Sicherheitsmaßnahmen im Internet installieren. Administratoren und IT-Verantwortliche wissen, dass Zeit ein dehnbarer Begriff ist. Hier finden sich dann tatsächlich noch einige Stunden, die nicht mit Schlaf, sondern mit Installationen und Verbesserungen ihren Weg in die firmeneigene IT finden. Beim Thema Geld sieht die Sache natürlich anders aus. Einem „nicht IT-affinen“ Vorgesetzten zu erklären, warum es viele tausend Euro kostet, den bereits gut funktionierenden Exchange-Server eben nicht im Internet stehen zu haben, sondern nur über ein Gateway, ist eine schwierige Aufgabe. Nur das Nötigste wird realisiert/genehmigt oder nur das, was im Budget geplant ist. Wobei im Budget so ziemlich alles an Extras immer gestrichen wird. Das kennt praktisch jeder.

Es wird schon nichts passieren.

Die bisherige Annahme, dass ausgerechnet unsere „kleine Klitsche“ mit 50 Mitarbeitern sicher nicht im Fokus der Hacker liegt, ist Anfang März 2021 mit einem Paukenschlag gefallen.

Zu hunderttausenden wurden in Deutschland und in der Welt Microsoft Exchange Server gehackt. Innerhalb weniger Tage. Es spielt keine Rolle, wer diese Hacks durchgeführt hat. Steht der Exchange Server direkt in Verbindung mit dem Internet, kann man Stand heute (11. März 2021) davon ausgehen, dass Hacker Zugriff auf den Server haben.

Die von Microsoft veröffentlichen Patches bewirken zwar, dass die ausgenutzten Sicherheitslücken (Exploits) geschlossen werden, sind aber wirkungslos, wenn die Hacker bereits Zugriff auf das System haben.

Betroffen sind dabei aber nicht nur Daten direkt vom Exchange Server. Nicht, dass ausreichend Schaden allein damit erreicht wird, dass Kontakte oder E-Mail-Konten kompromittiert sein können. Der Schaden kann noch viel größer werden.

Schrecken ohne Ende

In vielen Konfigurationen in den Unternehmen haben Exchange-Server auch weitreichende Admin-Rechte im Active Directory System. Zumeist eben auch die Berechtigung, dass ein User nicht nur als Exchange-User, sondern auch generell als AD-User angelegt werden kann.

Somit ist auf einen Schlag das ganze Netzwerk infiltriert und mehr oder weniger schutzlos den Hackern ausgeliefert. Ein User mit hohen oder gar Administrator-Rechten kann unbemerkt im Hintergrund beliebige Schadsoftware installieren oder sämtliche Daten abgreifen.

Noch mehr Schrecken ohne Ende

Wollen wir das noch weiterspinnen? Bevor jemand sagt, wir haben unsere Daten in der Cloud und nur mehr der alte Exchange-Server steht noch im IT-Keller. Ist eine Active Directory Synchronisation mit der Cloud aktiv, haben wir unter Umständen den freundlichen Hacker mit eigenem Account auch in unserer sicheren Cloud-Umgebung sitzen.

Viertel nach Zwölf

Wer den Paukenschlag noch immer nicht vernommen hat – diese Art der Gefahr wird in Zukunft nicht weniger. Sparen an der IT-Sicherheit kann ganze Firmenexistenzen gefährden und wer nicht für eine sichere IT sorgt, bekommt nicht nur rufschädigende und finanzielle, sondern auch schnell rechtliche Probleme seitens der DSGVO. Wie war das nochmal mit der Datensicherheit?

Sicherheitslücken gab es schon immer und wird es auch immer geben. Die IT muss hier schnell reagieren können und sofort Bescheid wissen, welche Softwarestände auf den Servern oder Netzwerkgeräten vorzufinden sind.

Wer bisher noch keine Inventarisierung im Programm hat – aktuell gibt es in jedem Unternehmen ein offenes Ohr der Chefs oder Verantwortlichen.

Ebenso ist die Auswertung der Berechtigungen ein oft abenteuerliches Unterfangen. Versuchen Sie nicht erst, mit Stift und Papier alles auseinander zu klauben. Schaffen Sie sich hier ein System, mit dem Sie möglichst schnell und effizient reagieren können.

Auf der richtigen Spur

Mit Docusnap können Sie nicht nur möglichst schnell alle Windows-Server nach deren Softwarestände abfragen und auswerten. So finden Sie alle Server, die dringend Updates und Patches brauchen. Standortunabhängig und lückenlos.

Docusnap Bericht Betriebssysteme
Docusnap Bericht Betriebssysteme

Im aktuellen Fall reicht es aber eben nicht, nur die Patches in das Exchange-Serversystem einzuspielen. Denn auch wenn die bekannten Lücken geschlossen sind, kann sich schon ein zusätzlicher Account eingenistet haben.

Nach Aussagen unserer Kunden war hierbei Docusnap besonders hilfreich. Durch die Analyse der Berechtigungsstrukturen konnten bei einigen Servern tatsächlich unbekannte und erst vor kurzem angelegte Userkonten aufgespürt werden.

Docusnap Berechtigungsanalyse
Docusnap Berechtigungsanalyse

Auch der Inventarstand der installierten Software konnte bei der Beseitigung der nachträglich installierten Backdoor-Programme eine schnelle Abhilfe ermöglichen. Diese Gefahr konnte erstmal abgewendet werden.

Liste aller installierter Software-Produkte
Liste aller installierter Software-Produkte

Keine Trennung erwünscht

Es wird auch in Zukunft immer wieder Gefahren geben, die vielleicht nicht immer in so großem Stil durchgeführt werden. Fix ist aber, dass in jedem Fall eine schnelle Reaktion hilft, das Schlimmste zu verhindern.

Wer bis dato keine Argumente für eine saubere und umfangreiche Dokumentation hatte, die neben Inventarlisten auch IT-Notfallhandbücher, Netzwerkpläne und vieles mehr bietet, dem kann dieser momentane Super-GAU ein wenig auf die Sprünge helfen.

Wenn Sie Ihre Argumente gefunden haben und jetzt nach der passenden Lösung suchen, holen Sie sich die kostenlose Testversion von Docusnap. Oder kontaktieren Sie unseren Support, der Ihnen auch bei diesem Problem gerne weiterhilft.