[{"@context":"https:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/www.iwelt.de\/angriff-auf-exchange-server-durch-hafnium-exploit-so-schuetzen-sie-ihre-systeme\/#BlogPosting","mainEntityOfPage":"https:\/\/www.iwelt.de\/angriff-auf-exchange-server-durch-hafnium-exploit-so-schuetzen-sie-ihre-systeme\/","headline":"Angriff auf Exchange Server durch Hafnium Exploit \u2013 so sch\u00fctzen Sie Ihre Systeme","name":"Angriff auf Exchange Server durch Hafnium Exploit \u2013 so sch\u00fctzen Sie Ihre Systeme","description":"Seit M\u00e4rz 2021 sind diverse Microsoft Exchange Dienste Opfer von Angriffen durch den sogenannten Hafnium Exploit geworden. Wir geben einen \u00dcberblick \u00fcber die Thematik und zeigen, wie Sie Ihre Systeme […]","datePublished":"2021-04-23","dateModified":"2021-04-26","author":{"@type":"Person","@id":"https:\/\/www.iwelt.de\/author\/johanna-baumgart\/#Person","name":"Johanna","url":"https:\/\/www.iwelt.de\/author\/johanna-baumgart\/","identifier":32,"image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/a07826e4c0329dd425602f91f38f50276a8aedcb54462641d15b01f8458bc0cf?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/a07826e4c0329dd425602f91f38f50276a8aedcb54462641d15b01f8458bc0cf?s=96&d=mm&r=g","height":96,"width":96}},"image":{"@type":"ImageObject","@id":"https:\/\/www.iwelt.de\/wp-content\/uploads\/Exchange_Server_Hafnium_Exploit_Blogbeitrag.jpg","url":"https:\/\/www.iwelt.de\/wp-content\/uploads\/Exchange_Server_Hafnium_Exploit_Blogbeitrag.jpg","height":750,"width":1200},"url":"https:\/\/www.iwelt.de\/angriff-auf-exchange-server-durch-hafnium-exploit-so-schuetzen-sie-ihre-systeme\/","about":["Allgemein","Cybersecurity","iWelt-News","News"],"wordCount":750,"articleBody":"Seit M\u00e4rz 2021 sind diverse Microsoft Exchange Dienste Opfer von Angriffen durch den sogenannten Hafnium Exploit geworden. Wir geben einen \u00dcberblick \u00fcber die Thematik und zeigen, wie Sie Ihre Systeme sch\u00fctzen k\u00f6nnen.Unternehmen stellen h\u00e4ufig Exchange Dienste wie ActiveSync (Abruf der Mails per Mail-App auf dem Handy), OWA (Outlook Web Access \u2013 Zugriff auf Outlook \u00fcber eine Webschnittstelle) und damit meist auch unwissentlich ECP (Exchange Admin-Konsole) f\u00fcr den Zugriff aus dem Internet f\u00fcr Ihre Mitarbeiter zur Verf\u00fcgung. Diese Dienste werden aktuell missbraucht. Der Zugriff geschieht dabei von extern \u00fcber das Internet-Protokoll https auf Port 443.Wie heise.de berichtet:Die aktuelle L\u00fccke in Exchange Servern erm\u00f6glicht Angreifern, die regul\u00e4re Authentifizierung zu umgehen und sich als Administrator eines Exchange-Servers anzumelden. Im Rahmen der Untersuchungen fanden Sicherheitsforscher eine weitere Schwachstelle, \u00fcber die sie Dateien f\u00fcr eine Remote Code-Ausf\u00fchrung (RCE) in Exchange platzieren konnten. Daraus bauten sie einen funktionsf\u00e4higen Proof of Concept Exploit. Mit dem lie\u00df sich die Exchange-Authentifizierung umgehen und der Server kompromittieren.\u2028Da ein Exchange Server im Active Directory hohe Rechte besitzt, gibt ein erfolgreicher Angriff auf das E-Mail-System dem Angreifer auch die M\u00f6glichkeit das Active Directory anzugreifen und hier Daten abzugreifen, zu ver\u00e4ndern und weitere interne System anzugreifen.\u2028Exploits f\u00fcr die ProxyLogon-genannte L\u00fccke in Exchange Server kursieren bereits, nun kommt auch noch Ransomware dazu. Erste Nutzer berichten von verschl\u00fcsselten Dateien.Wie kann ich mich sch\u00fctzen?Intrusion Prevention ServiceWatchguard hat zum Schutz die Signaturen seines Intrusion Prevention Service (IPS) erg\u00e4nzt und ver\u00f6ffentlicht. Diese finden sie auch im Watchguard Security Portal: hier nach \u201eCVE-2021-26\u201c suchen. \u2028Die Signaturen Ihrer Firewall sollten mindestens die Version 18.137 aufweisen.Die entsprechenden Signaturen finden Sie im\u00a0WatchGuard-Security-Portal:        1. Folgende Watchguard Sicherheits-Dienste f\u00fcr eingehende Exchange Policies aktivieren:Intrusion Prevention ServiceIPS erkennt und blockiert die erste Stufe des Angriffs der Exploit-Kette.\u2028 Voraussetzung ist eine aktivierte HTTPS-Deep-Inspection auf einer HTTPS-Proxy-Action, da das Angriffspattern nat\u00fcrlich nur dann erkannt wird, wenn die Firewall den verschl\u00fcsselten HTTPS-Stream aufbrechen kann.Gateway AntiVirusBeinhaltet mehrere Signaturen zur Erkennung und Blockierung der bei dem Angriff verwendeten WebShells.\u2028 Voraussetzung ist ein HTTP-Proxy mit aktiviertem Gateway-Antivirus und f\u00fcr HTTPS ebenfalls eine aktivierte HTTPS-Deep-Inspection auf der ausgehenden HTTPS-Proxy-Action, mit der der Zugriff vom Exchange-Server ins Internet geregelt ist.\u2028 In diesem Fall w\u00fcrde der Download der WebShells von HTTPS-Servern gepr\u00fcft, erkannt und unterbunden werden.APT BlockerAPT Blocker erkennt erfolgreich die b\u00f6sartigen PowerShell-Backdoors, die bei diesem Angriff verwendet werden.\u2028 Auch hier wird ausgehend eine entsprechende Proxy-Action f\u00fcr HTTP und HTTPS mit Deep Inspection ben\u00f6tigt.\u2028 Der APT-Blocker im TDR-Host-Sensor kann hier ebenfalls hilfreich sein.GeolocationAuch die Verwendung der Geolocation kann eine sinnvolle H\u00fcrde darstellen. Aktivieren Sie in den Exchange Policies die Geolocation mit Einschr\u00e4nkung nur der f\u00fcr Sie relevanten L\u00e4nder. Bspw. nur Europa erlauben (beachten Sie die IP-Locationen der E-Mail-Server Ihrer Kunden). Dies ist nat\u00fcrlich kein 100%iger Schutz, aber wenn der Gro\u00dfteil aller IPs im Internet bereits beim Zugriff auf den OWA\/Exchange geblockt wird, k\u00f6nnen diese auch keinen Angriff ausf\u00fchren. Nat\u00fcrlich w\u00e4ren die Server weiterhin von System in den erlaubten L\u00e4ndern\/Regionen aus angreifbar.2. Access Portal in Verbindung mit Microsoft Exchange (Pre-Authentication):Die erste Angriffsstufe f\u00fcr diese Bedrohung erfordert einen Exchange-Server, der dem Internet ausgesetzt ist (wie z.B: ein einfaches Port-Forwarding mit SNAT). Sie k\u00f6nnen diese Stufe des Angriffs entsch\u00e4rfen, indem Sie den Exchange-Server hinter dem Access Portal der Firebox sch\u00fctzen. In diesem Falle l\u00e4uft \u00fcber das Access Portal eine sog. Pre-Authentication, so dass nur Requests mit validen Credentials \u00fcberhaupt bis auf den Exchange durchgereicht werden.Zus\u00e4tzlich hat dies den Vorteil, dass die Authentifizierung gegen die E-Mail-Domain durchgef\u00fchrt wird und der Exchange nur noch \u00fcber https:\/\/<domain-name>\/ erreichbar ist, aber nicht mehr unter https:\/\/<ip>; d.h. ein reiner Scan auf einen IP-Range und dort auf der IP zuf\u00e4llig laufender OWA-Instanzen greift von vornherein ins Leere.Mit Hilfe von Reverse-Proxy-Aktionen in der Access Portal Konfiguration k\u00f6nnen Remote-Benutzer ohne VPN-Client eine sichere Verbindung zu internen Webanwendungen und Microsoft Exchange Diensten herstellen.Mobile Ger\u00e4te mit Microsoft Mail-Clients (\u00fcber ActiveSync)Microsoft OutlookMicrosoft Outlook-WebzugriffMicrosoft Outlook Web Access \u00fcber das Access Portal (mit automatischer Anmeldung)Sollten Sie weitere Fragen zum Schutz Ihrer Systeme gegen Hack von Exchange-Servern haben, kontaktieren Sie uns gerne! Autor: Christopher Pohley, Teamleiter\/Produktmanager Hosting Services"},{"@context":"https:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"name":"Angriff auf Exchange Server durch Hafnium Exploit \u2013 so sch\u00fctzen Sie Ihre Systeme","item":"https:\/\/www.iwelt.de\/angriff-auf-exchange-server-durch-hafnium-exploit-so-schuetzen-sie-ihre-systeme\/#breadcrumbitem"}]}]