Wie man das Unbekannte abwehrt. Exchange, Hafnium, da war noch was.

Andre Fritsche
Mar 14 · 4 min read

Disclaimer: Das hier ist nur ein Abbild der aktuellen Kenntnisse und kann sich durchaus morgen schon wieder ändern. Also, je älter der Beitrag umso ungenauer.

Es wurde bereits viel über den neuesten und einen der wohl als bekanntesten 0 Day Exploits der Geschichte geschrieben. Ich fasse mich von daher kurz und erkläre worum es hier geht, denn ich möchte euch hier eine Frage kurz und knapp erklären:

  • Was soll ich jetzt tun?

Das teile ich auf in mehrere Abschnitte:

  • Was ist genau passiert?
  • Warum ist es passiert?
  • Was kann ich jetzt tun?
  • Was kann ich für die Zukunft tun?

Die Frage “Was hätte ich tun können?” erklären euch die meisten da draußen, aber damit kann eigentlich niemand so wirklich etwas anfangen. Der Zug ist abgefahren.

Was ist passiert?

Durch eine Verkettung von mehreren Sicherheitslücken können die Angreifer den Exchange Server still und heimlich automatisiert übernehmen. Welche Rechte hat der Exchange Server im Netzwerk? Meistens höhere, teilweise sogar bis zum Domänenadministrator.

Eine Frage würde ich noch gern einwerfen: Wie schlimm ist es? Aus meiner Sicht: Ziemlich schlimm.

Warum ist es passiert?

Sicherheitslücken werden wie folgt bezeichnet. Einfach danach googlen, ihr werden fündig, falls euch Details interessieren:

  • CVE-2021–26855
  • CVE-2021–26857
  • CVE-2021–26858
  • CVE-2021–27065

Vor allem der erste (26855) erlaubt es einem Angreifer Programmcode auf dem Exchange Server auszuführen. Ohne Login usw. Der Rest erfolgt dann schrittweise.

Was kann ich jetzt tun?

File IOCs

- 2b9838da7edb0decd32b086e47a31e8f5733b5981ad8247a2f9508e232589bff
- e044d9f2d0f1260c3f4a543a1e67f33fcac265be114a1b135fd575b860d2b8c6
- feb3e6d30ba573ba23f3bd1291ca173b7879706d1fe039c34d53a4fdcdf33ede
- FDEC933CA1DD1387D970EEEA32CE5D1F87940DFB6A403AB5FC149813726CBD65
- 10BCE0FF6597F347C3CCA8363B7C81A8BFF52D2FF81245CD1E66A6E11AEB25DA

E-Mail IOCs

- konedieyp@airmail.cc
- uenwonken@memail.com

Was kann ich für die Zukunft tun?

Sophos beispielsweise hat erst 5 Tage nach bekanntwerden des Exploits die Dateien von meinem Rechner entfernt und erkannt. Ganz schön lange hm, Sophos? Aber wer will es Ihnen verübeln, niemand wusste genau was Sache ist.

Gute News, wir können uns vorbereiten auf den nächsten Supergau, manches davon ist einfach zu realisieren, anderes nicht:

  • Statt Exchange eine andere, unbekanntere Software nutzen (als ob…)
  • Systeme nicht leichtfertig exponieren, sondern vorher einen Spezialisten konsultieren, damit ein möglicher Angriff zumindest eingedämmt wird (ohne, dass gleich das ganze Netzwerk betroffen ist)
  • Herstellern von Securitylösungen mistrauen, bis ein Spezialist das bestätigt (vor allem Virtual Patching … anderes Thema)
  • Transparenz schaffen. Es gibt tatsächlich Produkte, die man kaufen kann. Ich rate aber dringend zu “managed services”: EDR, XDR, SIEM
  • Administratoren sensibilisieren: Die meisten denken, dass so ein Angriff mit dem Microsoft Safety Tool erfolgreich abgewehrt ist. Schmerzen, die auf Grund von Tumoren auftreten gehen mit Ibuprofen auch weg, aber irgendwann knallt’s.

EDR — Die Abkürzung ist gleichgültig, ein toller Name. Dahinter verbirgt sich aber eine Software, die alle Schritte einer möglichen Schadsoftware nachverfolgt und bewertet. Ausgezeichnet für den Fall, wenn es schon passiert ist (Denkt daran: Verhindern können wir 0 Day Exploits nicht.)

XDR — Ein wenig mehr als EDR, da hier auch Netzwerkkomponenten mit betrachtet werden.

SIEM — Die absolute Transparenz ist hier möglich, teilweise auch eine Erkennung unabhängig davon was euch die Antimalware Hersteller versprechen. Aber: Bloß nicht alleine, nur mit einem Security Experten, sonst werft ihr Geld aus dem Fenster und werdet nie glücklich damit.

Fazit

Ich will noch mehr darüber lesen:

Beitragsbild von Christiaan Coolen — Creative Commons Lizenz — BY-SA 2.0

IT-Sicherheit-DE

Aktuelles zur IT Sicherheit. Kompliziertes einfach erklärt.

Andre Fritsche

Written by

IT-Sicherheit-DE

IT Sicherheit ist meist so komplex, dass im Business Alltag keine Zeit bleibt, sich damit im Detail zu befassen. Diese Publication ist für die gedacht, die sich darauf verlassen, dass sie einen kurzen Abriss zu aktuellen Bedrohungen erhalten, den sie auch verstehen.

Andre Fritsche

Written by

IT-Sicherheit-DE

IT Sicherheit ist meist so komplex, dass im Business Alltag keine Zeit bleibt, sich damit im Detail zu befassen. Diese Publication ist für die gedacht, die sich darauf verlassen, dass sie einen kurzen Abriss zu aktuellen Bedrohungen erhalten, den sie auch verstehen.

Medium is an open platform where 170 million readers come to find insightful and dynamic thinking. Here, expert and undiscovered voices alike dive into the heart of any topic and bring new ideas to the surface. Learn more

Follow the writers, publications, and topics that matter to you, and you’ll see them on your homepage and in your inbox. Explore

If you have a story to tell, knowledge to share, or a perspective to offer — welcome home. It’s easy and free to post your thinking on any topic. Write on Medium

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store