Am 10.03.2021 informierten wir bereits per E-Mail über aktuelle Exchange Sicherheitslücken. Das aufgrund der Tatsache, dass das BSI (Bundesamt für Sicherheit der Informationstechnik) die Bedrohungslage am 05.03.2021 erhöht und auf Stufe 4/rot angehoben hat.
Hier geht es um mehrere Schwachstellen (insgesamt vier Stück).
Es ist davon auszugehen, dass sämtliche Exchange Server der Versionen 2010, 2013, 2016 und 2019 betroffen sind, die direkt per Port 443, also beispielsweise den Service OWA (Outlook Web Access), aus dem Internet erreichbar waren.
Gemäß dem Stand vom 08.03.2021 (Quelle Trend Micro / Heise) sind weltweit ca. 266.000 Exchange Server angreifbar; in Deutschland mindestens noch 26.000.
Einen lesenswerten Artikel der Heise Medien GmbH & Co. KG finden Sie hier: https://www.heise.de/news/Exchange-Luecken-BSI-ruft-IT-Bedrohungslage-rot-aus-5075457.html
Die entsprechenden Patches wurden in der Nacht zum 03.03.2021 von Microsoft „out-of-band“ veröffentlicht.
Ebenfalls wurde im MSRC-Blog (Microsoft Security Response Center) am 02.03.2021 ausführlich informiert, welche Schritte einzuleiten bzw. welche Maßnahmen erforderlich sind: https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
Die Schwere der Sicherheitslücke zeigt sich u.a. dadurch, dass Microsoft sogar für die nicht mehr offiziell supportete Version Exchange 2010 noch ein Update herausgegeben hat. Das geschieht normalerweise nur dann, wenn das Sicherheitsrisiko eine entsprechend hohe Gewichtung hat.
Aber worum geht es bei diesen Schwachstellen?
CVE-2021-26855 (Proxy-Logon):
Hier wird es Angreifern ermöglicht http-Requests zu senden und mit dem Server zu kommunizieren bzw. sich zu verbinden, um dort Befehle ausführen zu können, ohne sich anmelden zu müssen.
CVE-2021-26857:
Durch eine Schwachstelle im Unified Messaging Service ist es möglich, beliebigen Programmcode als „SYSTEM“ auf dem Exchange-Server auszuführen. Erforderlich dazu sind Administrator-Rechte oder die Ausnutzung weiterer Schwachstellen)
CVE-2021-26858 und CVE-2021-27065:
Nutzbar nach der Authentisierung, um eigene Dateien auf dem Server zu schreiben.
Was bedeutet das?
Ein Angreifer kann sich über HTTPS, also den Port 443 welcher von den Diensten OWA (Outlook Web Access), ActiveSync, UM (Unified Messaging), ECP (Exchange Control Panel), VDir, OAB (Offline Address Book) sowie weiteren Diensten genutzt wird, verbinden.
Danach ist es möglich:
Mails von beliebigen Postfächern auszulesen sowie auf Termine und Kontakte zuzugreifen.
Es können beliebige Dateien geschrieben werden.
Es kann aus der Ferne ein beliebiger Programmcode auf dem Server ausgeführt werden.
Am 08.03. und 09.03.2021 gingen erste Meldungen durch die Presse, dass EU-Bankenbehörden und laut einem weiteren Bericht sechs deutsche Behörden ihre Mailserver vom Netz nehmen mussten, da diese bereits betroffen waren bzw. der Fall dort erkannt wurde.
Ein großes Standardproblem zeigt sich auch hier wieder:
Administratoren patchen Systeme nicht rechtzeitig und Patches werden zu spät eingespielt.
Das ist leider ein sehr häufiges Problem. In diesem Fall wird die Dringlichkeit unterschätzt und die Meldungen sowie Warnhinweise nicht entsprechend verfolgt.
Hinzu kommt hier aber auch die Problematik, dass diese Schwachstelle bereits im November 2020 entdeckt bzw. erstmalig ausgenutzt wurde. Sie existierte also schon wesentlich länger und diese Zero-Day Lücke wurde dann von der Hacker Gruppe namens „Hafnium“ ausgenutzt.
Als Zero-Day Sicherheitslücke bezeichnet man Schwachstellen, die noch nicht öffentlich oder bekannt sind und für die es noch keine Patches gibt. Erste Exploits wurden bereits am 03.01.2021 erkannt und die Lücke am 05.01.2021 an Microsoft gemeldet.
Dennoch hat es fast zwei Monate gedauert, bis Microsoft dann am 02.03. den Patch als „out-of-band“ Security Update veröffentlicht hat.
Bis dahin ging es hier um Angriffe mit dem Ziel der Spionage.
Primär zunächst an Behörden, Institutionen und Forschungseinrichtungen in den USA. Diese sollten in Bezug auf die Corona Pandemie ausgespäht werden.
In der Zwischenzeit, nach Bekanntwerden der Sicherheitslücke, nutzen natürlich weitere Hackergruppen diese Verwundbarkeiten der Systeme aus. Nach Veröffentlichung der Patches am „Patch Tuesday“ folgt am 02.03.2021 der „Exploit Wednesday“.
Der Exploit-Code wird öffentlich und weitere Gruppen nutzen diesen für eigene Zwecke und Angriffe. Die Gefahr für alle bis dahin noch direkt über Port 443 und OWA erreichbaren ungepatchten Exchange Server steigt also dramatisch an.
Was bedeutet das jetzt aber für Unternehmen die einen Exchange Server betreiben und was müssen diese tun?
Zunächst einmal ist davon auszugehen, dass man betroffen ist, wenn der Server per Internet in dem Zeitraum Ende 2020 bis heute über Port 443 erreichbar war.
Sperren Sie zunächst schnellstmöglich den Zugang oder nehmen Sie den Server vom Netz.
Vor der weiteren Recherche und Untersuchung sollten Sie zunächst einmal Backups erstellen und Log Dateien speichern, um Veränderungen nachvollziehen zu können und Beweise zu sichern.
Ebenfalls wichtig ist, dass Sie an die Meldepflichten für den Datenschutzvorfall denken, wenn Sie etwas auf Ihrem System gefunden haben und Anzeige erstatten.
Microsoft stellt Scripte und Tools zur Verfügung mit denen der Server untersucht werden kann.
Die wichtigsten Handlungsempfehlungen und ersten Schritte wären dementsprechend:
Nehmen Sie den Server vom Netz.
Backups sollten erstellt und Logs gespeichert werden, um Beweise zu sichern.
Microsoft Exchange Patches einspielen.
Prüfen Sie auf Kompromittierung und ob man betroffen ist (z.B. durch Testscripte von MS oder Virenschutzhersteller).
Berücksichtigen und kontrollieren Sie ebenfalls, ob es neue und ungewollte bzw. unbekannte Adminkonten oder neue Benutzer im System gibt, von denen die IT nichts weiß.Wenn der Exchange aus dem Internet erreichbar war, sollten Sie über Neuinstallationen nachdenken.
Sollten Sie sich für die Wiederherstellung aus einem Backup entscheiden, muss dieses vor dem 02.03.2021 erstellt worden sein bzw. vor der festgestellten Kompromittierung liegen.
Prüfen der Logs der Firewalls oder des Proxyservers, ob ungewollte Kommunikation nach außen gegangen ist.
Finden Sie heraus, was der Angreifer gemacht hat und ob eine Meldepflicht bei einer Aufsichtsbehörde besteht.
Eine gute Übersicht und Zusammenfassung der ToDos sowie weitere Hilfestellungen und Links finden Sie auf heise.de unter folgendem Link: https://www.heise.de/news/Exchange-Hack-Welche-Massnahmen-Unternehmen-jetzt-ergreifen-muessen-5537050.html.
Ebenfalls laufend aktualisiert und mit aktuellen Empfehlungen versehen ist der Link zum BSI: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Server/Microsoft-Exchange_Schwachstelle/schwachstelle_exchange_server_node.html.
Auf der Webseite https://www.govcert.ch/blog/exchange-vulnerability-2021/ finden Sie sehr gute Informationen und Anleitungen zur Überprüfung, Beispiele für erstellte Dateien, bekannte IP- Adressen von Angreifern und sonstige hilfreiche Hinweise sowie Informationen.
Was erwartet uns in den nächsten Tagen, Wochen oder Monaten und was muss beachtet werden?
In der nächsten Zeit werden Erpressungen durch Cyberkriminelle und Verschlüsselungen einzelner Systeme erfolgen.
Es gibt bereits die ersten verschlüsselten Dateien und Lösegeldforderungen, weitere werden folgen. Es ist somit eine höchste Achtsamkeit geboten.
Die Systeme sollten intensiv beobachtet werden.
Ausweiten der Protokollierung und detaillierte Auswertungen sind erforderlich.
Es sollten wöchentliche Überprüfungen der Server mittels Microsoft Safety Scanner erfolgen.
Systematische Änderung der Zugangsdaten und Passwörter, insbesondere bei administrativen Benutzerkonten.
Exchange Server auf neue Benutzerkonten, Dienste oder zusätzlich ausgeführte Programme bzw. abgelegte Dateien oder Web-Shells prüfen.
Sensibilisierung der Mitarbeiter:innen im Hinblick auf mögliche Phishing-Angriffe.
Eventuell über geeigneteres Backupkonzept nachdenken.
Infektionen müssen nicht nur auf dem Exchange Server, sondern im gesamten Active Directory geprüft werden.
Die vorhandenen Backups sollten auf Kompromittierung geprüft werden.
Vollständige Virenprüfung aller IT-Systeme durchführen.
Erweiterungen oder Ergänzungen im Bereich des Virenschutzes implementieren, um Verschlüsselungsaktivitäten sofort erkennen und automatisch stoppen zu können. Moderne und „NextGen“ Scanner sind in der Lage verdächtige Aktivitäten zu erkennen und zu stoppen oder Systeme vom Netz zu trennen, um eine weitere Verbreitung zu verhindern.
Setzen Sie Ihr Patchmanagement um oder erweitern Sie dieses; testen und installieren Sie Patches zeitnah.
Berücksichtigen Sie, dass rein durch die Installation der Patches der Vorgang nicht abgeschlossen ist. Der Zugriff auf die gestohlenen Daten bzw. auf die Systeme kann auch über andere weitere infizierte Systeme erfolgen oder durch „schlafende“ Programme sowie Scripte (die zunächst nur auf dem Server abgelegt wurden) „geweckt“ werden.
Prüfen Sie die genannten Links auf Aktualisierungen und neue Hinweise die fortlaufend ergänzt werden, um auch weiterhin wichtige Informationen zu erhalten. Zuletzt wurde unter dem Link von Heise die ergänzende Information vom 16.03.2021 mit dem Hinweis auf das „One-Click On-Premise Migration Tool“ (EOMT) angefügt, welches vorsorglich eine Behebung der ProxyLogon Lücke erlaubt, bis gepatcht werden kann.
Bleiben Sie auf jeden Fall informiert, unterschätzen Sie die Lücke nicht und beobachten Sie die Systeme weiter.
Erweitern Sie eventuell Ihre Ressourcen oder ziehen Sie spezielle Forensikteams hinzu. Die Gefahr, dass hier noch weitere Probleme folgen und eventuell später noch eine Verschlüsselung mit anschließender Erpressung folgt ist durchaus gegeben und keinesfalls zu unterschätzen.
Was bedeutet die Sicherheitslücke in dem Fall aus datenschutzrechtlicher Sicht?
Es ist natürlich davon auszugehen, dass auf einem E-Mail Server wie dem Microsoft Exchange personenbezogene Daten verarbeitet werden. Je nach Unternehmen kann die Anzahl der Daten variieren, woraus sich die Anzahl der eventuell betroffenen Personen ergibt.
Es stellt sich die Frage nach der „Sensibilität der Daten“.
Geht es eventuell um Bewerberdaten? Womöglich sogar um Gesundheitsdaten? Liegen diese Verschlüsselt auf dem System oder sind sie im Klartext abgelegt? Wie schaut es mit Personaldaten aus?
Da wir es in jedem Fall mit einem Datenschutzvorfall zu tun haben sind Unternehmen aus datenschutzrechtlicher Sicht in jedem Fall verpflichtet, den Vorfall und die durchgeführten Maßnahmen, also mindestens die Installation der durchgeführten Sicherheitsupdates gemäß Artikel 33 Abs. 5 DSGVO zu dokumentieren und zu protokollieren.
Sie müssen weiterhin sicherstellen, dass keine Daten abgeflossen sind. Können Sie das nicht, sind Sie zu einer Meldung nach Art. 33 Abs. 1 DSGVO an die zuständige Aufsichtsbehörde verpflichtet. Eventuell besteht ein hohes Risiko gemäß Art. 34 Abs. 1 DSGVO. Dann müssen sogar die betroffenen Personen benachrichtigt werden.
Häufig wird aber in der Praxis nicht beachtet, dass nicht die Unternehmen selbst den Exchange Server betreiben, sondern dieses durch externe Dienstleister als Auftragsverarbeiter erfolgt. In dem Fall sind dann die Auftragsverarbeiter für die Überwachung, Überprüfung und ordnungsgemäße Funktion zuständig. Auftragsverarbeiter müssen gemäß Art. 28 Abs. 1 DSGVO hinreichende Garantien dafür bieten, dass eine datenschutzkonforme Verarbeitung möglich ist und geeignete technische und organisatorische Maßnahmen hierfür treffen. Das bedeutet also auch, dass diese dazu verpflichtet sind, Patches zeitnah zu installieren und weitere notwendige Schritte durchzuführen, ohne dass der Auftraggeber dieses anweisen muss.
Die Auftragsverarbeiter sind nach Art. 28 Abs. 3 lit. f DSGVO dazu verpflichtet, die verantwortlichen Unternehmen gemäß den Artikeln 32 bis 36 DSGVO bei der Einhaltung der genannten Verpflichtung zu unterstützen. Das betrifft also insgesamt auftretende Sicherheitslücken und die zuvor erwähnte zeitnahe Installation von Patches, im konkreten Fall natürlich auch die „Hafnium“-Sicherheitslücke.
Kommt der Auftragsverarbeiter seiner Verpflichtung nicht nach, weil er zu spät oder gar nicht gepatcht oder die Systeme nicht auf eine Kompromittierung geprüft hat, muss eine Meldung an die Aufsichtsbehörde oder eventuell sogar an die Betroffenen erfolgen. Hierbei muss in dem konkreten Fall der Auftragsverarbeiter unterstützen.
Ebenfalls hat eine Dokumentation nach Art. 33 Abs. 5 DSGVO zu erfolgen. Auch hier ist der Auftragsverarbeiter zur Unterstützung verpflichtet. Diese Dokumentation ist auch aus Sicht des Verantwortlichen wegen möglicher Regressansprüche durch Fehlverhalten des Auftragsverarbeiters von Bedeutung. In beiderseitigem Interesse sollte diese Dokumentation also möglichst ausführlich erfolgen.
Ein entsprechender Vorfall oder Ereignis könnte also auch Rückschlüsse zulassen, dass der Auftragsverarbeiter nicht in der Lage ist, die nach Art. 28 Abs. 1 DSGVO erforderlichen geeigneten technischen und organisatorischen Maßnahmen zu garantieren und zeitnah umzusetzen. Werden Updates nicht zeitnah installiert oder erfolgt die Überprüfung der Systeme unzureichend, obwohl dieses zwingend geboten ist, kann durchaus die Kompetenz des Auftragsverarbeiters in Frage gestellt und nicht mehr auf diese Vertraut werden. Es sollte in diesem Fall mindestens eine Überprüfung der Maßnahmen und eine Anpassung verlangt werden. Treten weiterhin Mängel bei den Maßnahmen auf, wäre die Auftragsverarbeitung nicht mehr zulässig und die Datenverarbeitung durch diesen Auftragsverarbeiter müsste eingestellt werden.
Sind Sie also in der Situation des Auftragsverarbeiters ist zu raten, sofern der Fall verspäteter Updates oder unzureichende Prüfung auf Kompromittierung zutrifft, schnellstmöglich gegenüber den Verantwortlichen nachzuweisen, dass hinreichende Garantien bestehen oder für die zusätzliche Sicherheit der Verarbeitung bereits Verbesserungen in die Wege geleitet wurden.
Als verantwortlicher Auftraggeber hingegen sollten Sie unmittelbar Ihre Auftragsverarbeiter kontaktieren und entsprechende Garantien und Nachweise verlangen, um den Kontrollpflichten nachzukommen. Gerade in dem konkreten Fall sollten Sie sich nachweisen lassen, welche Schritte zur Beseitigung bzw. zur Überprüfung im Hinblick der bekannten Sicherheitslücken unternommen wurden. In diesem Zusammenhang kann ein sinnvoller Nachweis eine umfassende Dokumentation der Aufarbeitung des Vorfalls, eine Erarbeitung von Konzepten oder die Hinzuziehung weiterer Experten (z.B. eines incident response Teams oder ein Nachweis zur Steigerung des Sicherheitsniveaus durch weitere Maßnahmen) sein.
Die zuvor erwähnten zu treffenden Maßnahmen und weitere Schritte treffen also auch für Auftragsverarbeiter sowie deren eigene Systeme zu; vielmehr aber auch für die im Kundenauftrag gehosteten oder gewarteten Systeme.
Der aktuelle Vorfall zeigt, dass sich Verantwortliche und Auftragsverarbeiter nicht nur Gedanken über die technische Umsetzung und Verarbeitung machen müssen, sondern auch mit den datenschutzrechtlichen Konsequenzen bei Sicherheitslücken und den damit verbundenen stark diskutierten Benachrichtigungs- und Meldepflichten auseinandersetzen müssen.