Ein gefährliches Loch, das seit Februar geflickt wurde und bereits für Angriffe verwendet wird – und doch sind allein in Deutschland rund 40.000 Systeme anfällig. Nicht irgendein System. Es geht um Exchange-Server. Dies sind die Kommunikationszentren des Unternehmens, in denen fast alles erledigt wird: E-Mail, Kalender, Kontakte. Dennoch scheinen sich viele Administratoren nicht um ihre Sicherheit zu kümmern.
Wie das BSI jetzt warnt, gibt es in Deutschland ungefähr 40.000 Exchange-Server, die für die als CVE-2020-0688 identifizierte Sicherheitsanfälligkeit anfällig sind. Dadurch kann das System vollständig über das Netzwerk übernommen werden. Mehr als die Hälfte aller Exchange-Serveradministratoren mit einer Webschnittstelle, auf die direkt über das Internet zugegriffen werden kann, ist darauf angewiesen Saint Florian Prinzip („Rette mein Haus, zünde andere an!“).
Seit gestern, Dienstag, informiert der BSI / CERT-Bund betroffene Unternehmen über ihre Anbieter, dass dringend Maßnahmen ergriffen werden müssen. Darüber hinaus hat die Sicherheitsbehörde die IT-Bedrohungsstufe auf „3 / Orange“ festgelegt. Das heißt: „Die IT-Bedrohungssituation ist geschäftskritisch. Enormer Schaden für den regulären Geschäftsbetrieb.“
Nur eine Frage der Zeit
Man sollte die Situation nicht übertreiben. Für eine erfolgreiche Übernahme des Exchange-Servers benötigt der Angreifer bereits gültige Zugriffsdaten auf ein Exchange-Konto. Diese Hürde ist jedoch nicht besonders hoch. Ein einzelner Computer, der mit Malware infiziert ist, oder ein unachtsamer Benutzer, der auf eine Phishing-E-Mail stößt, reicht aus. Abgesehen von der Tatsache, dass die Emotet-Bande bereits viele Zugangsdaten gesammelt hat. Der CERT-Bund klassifiziert daher das Risiko zu Recht „sehr hoch“ genannt.
Ein weiterer erschwerender Faktor ist, dass der Exchange-Server sehr eng mit dem Active Directory verbunden und häufig nicht ausreichend gesichert ist. Ein Angreifer könnte „einen Exchange-Server kompromittieren und die Anmeldeinformationen des Domänenadministrators abhängig von der Systemumgebung schnell abrufen“, erklärt das BSI in seiner Sicherheitswarnung zu den Exchange-Sicherheitslücken und empfiehlt, betroffene Server so schnell wie möglich zu aktualisieren.
Wenn Rapid7 und das BSI die anfälligen Server identifizieren können, sollte dies auch für Cybercrime-Banden kein Problem sein. Darauf können sich die beteiligten Unternehmen und Organisationen konzentrieren. Die Frage ist nicht ob, sondern nur wann es große IT-Probleme geben wird.
Siehe auch zur Sicherheit:
(ju)
