Anmelden


Sicherheitsexperten des MWR Infosecurity: Schwachstelle in Exchange erlaubt Zugriff auf Fileshares

Kurzkommentar von David Lin, Varonis: Gemäß einer Veröffentlichung des Forschungs- und Beratungsunternehmens MWR Infosecurity https://www.mwrinfosecurity.com erlauben es derzeit sämtliche Versionen von Microsoft Exchange, dass Hacker auf Fileshares innerhalb eines Unternehmens zugreifen. In der Tat setzt eine nicht ganz unbeträchtliche Zahl großer Unternehmen Exchange als Mail-Server ein. Wer also den externen Zugriff auf Exchange ActiveSync gestattet, ist angreifbar.

Es stellt sich die Frage, was Unternehmen tun können, um sich gegen einen Angriff zu wappnen, der diesen neuerlichen Bug ausnutzt. Zunächst und vor allem anderen, sollten sie ein Auge auf potenzielle Schwachstellen haben und sobald Patches verfügbar sind, diese unverzüglich einspielen.Trotzdem werden immer noch Zero-Day-Schwachstellen übrig bleiben. Dann sollte man sicher gehen, dass nur die richtigen Mitarbeiter auf Exchange und die in Fileshares gespeicherten Daten zugreifen können. Das minimiert im Falle eines Falles die Angriffsfläche und die Folgeschäden. Es hat sich ausreichend oft bewahrheitet, dass es nicht genügt, die Netzwerkgrenzen zu schützen. Erste Priorität sollte es sein, den Zugriff auf sämtliche Daten zu überwachen, anomales Verhalten aufzudecken und ein Modell der minimalen Rechtevergabe innerhalb seiner Firma durchzusetzen.

Dabei muss man die Besonderheiten der E-Mail-Infrastruktur berücksichtigen. Die meisten Firmen sind recht schnell und gründlich darin, herauszufinden, wer in Exchange auf Mailboxen, Kalender und öffentliche Ordner zugreifen kann. Exchange macht es ausgesprochen einfach Berechtigungen zu vergeben. Dafür ist es umso schwieriger im Nachhinein herauszufinden, welche Zugiffsrechte vergeben worden und wo sie vielleicht viel zu weitreichend sind. Es gibt Software-Lösungen, die eine E-Mail-Infrastruktur dahingehend abbilden und Problembereiche kennzeichnen. Das können beispielsweise Benutzer sein, die auf Mailboxen zugreifen können, die ihnen nicht gehören. Gerade wenn man an externe Benutzer denkt, ist Multi-Faktor-Authentifizierung wichtig.

Was kann man sonst noch tun? E-Mail-Infrastruktur und Fileshares auditieren. Das trägt dazu bei, Hackeraktivitäten frühzeitig zu erkennen und einen potenziellen Angriff über diese Schwachstelle zu vereiteln. Ein weiterer Vorteil dieser Methode ist, dass man mit ihr auch erkennt, wenn ein Insider Zugriffsberechtigungen missbraucht. Wenn man jede Dateiberührung und jegliche E-Mail-Aktivität konsequent überprüft, erscheinen nach und nach bestimmte Muster eines Benutzerverhaltens, die immer wiederkehren. Sie dienen als Grundlage dafür, ein normales Verhalten zu definieren. Gleichzeitig erlaubt diese Vorgehensweise zu erkennen, wenn ein Muster von diesem als normal definierten Verhalten abweicht. Zum Beispiel dann, wenn ein Hacker eine Schwachstelle wie die beschriebene ausnutzt und auf sensible Daten in den Fileshares zugreift.

Gerade in diesem und den letzten beiden Jahren haben wir großangelegte Datenschutzverletzungen und Leaks beobachten können. Sei es DCN, die Panama Papers oder Sony Pictures. Eine Liste, die sich fast beliebig verlängern lässt. E-Mails sind ein kritischer Faktor. Wir haben gesehen wie aufgrund von Datenschutzverletzungen Chefs ihre Sessel räumen mussten, belastendes Material an die Öffentlichkeit gelangt ist und sogar Leben in Gefahr gebracht worden sind. E-Mail-Sicherheit ist und bleibt eines der dringendsten Anliegen in den Führungsetagen überall auf der Welt.