Hafnium – Was tun nach dem Angriff?

Vielleicht hatten Sie es bereits in den Medien gelesen. Seit gut einer Woche wird von einem großflächigen Angriff auf die Microsoft-Exchange-Server berichtet. Durchgeführt wurde der Angriff von der chinesischen Hackergrupper „Hafnium". Viele Unternehmen sind davon betroffen und müssen sich aktuell Klarheit verschaffen, wie es nun weitergeht.

Für alle Beteiligten ist es ärgerlich, dass die Bedrohung seit dem 5. Januar 2021 Microsoft bekannt war und es fast zwei Monate dauerte, bis ein Patch zum Beseitigen der Schwachstellen veröffentlich wurde. Möglicherweise wurden die Schwachstellen seit 26. Februar massenweise ausgenutzt, wie nun bekannt wurde. Ein Patch für die Systeme wurde durch Microsoft erst ab 3. März zur Verfügung gestellt. Ältere System erhalten den Patch seit 9. März. 

Drei wichtige Sofortmaßnahmen im Schadensfall

1. Bitte zeigen Sie zusammen mit Ihrem Datenschutzbeauftragten den Vorfall bei der zuständigen Behörde an und besprechen Sie mit diesem weitere notwendige Maßnahmen nach der DSGVO ab. Das kann in Baden-Württemberg beispielsweise online durchgeführt werden: 

   https://www.baden-wuerttemberg.datenschutz.de/datenpanne-melden/

2. Bitte lassen Sie alle Benutzer Ihre Kennwörter zeitnah ändern. Alle Benutzerkonten mit administrativen Berechtigungen müssen ebenfalls neue Kennwörter erhalten. Da diese Änderung kritisch ist, können nachgelagerte Dienste beeinträchtigt werden. 

3. Das Kerberos Ticket System innerhalb des Windows Active Directory sollte zurückgesetzt werden. Ansonsten könnten trotz Kennwort Änderung weiterhin Systemzugriffe erfolgen.

Was tun bei einem kompromittiertem Exchange Server System?

Sofern die Systemfestplatte in einen sauberen Zustand wiederhergestellt werden konnte, kann der Exchange Server zunächst weiterverwendet werden.

War dies nicht möglich, kann nicht gänzlich ausgeschlossen werden, dass weiterhin Schadcode, sogenannte Webshells. aktiv bleibt. Dieser könnte Zugriffe von extern ermöglichen. Auch wenn eine Bereinigung durchgeführt wurde, bleibt ein nicht zu verachtendes Restrisiko vorhanden.

Als mögliche Lösungen für dieses Problem stehen zwei Optionen zur Verfügung. Eine vollständige Neuinstallation des Microsoft Exchange Servers oder eine Migration dessen in die Microsoft Cloud zu Office bzw. Microsoft 365 ausgehend von der Annahme, dass weiterhin Exchange Technologie zum Einsatz kommen soll.

Wie es weitergeht – Stichwort Netzwerksicherheit

Die Bedrohungslage ist dynamisch und verändert sich stetig. Bei Systemen, welche vor Monaten oder Jahren implementiert wurden, muss davon ausgegangen werden, dass Teile davon eine Überarbeitung oder Erweiterung erfordern. Wie beim TÜV, welcher überprüft, ob ein Fahrzeug noch zuverlässig am Straßenverkehr teilnehmen kann. Hier ist es wichtig, dass Ihre IT oder IT-Dienstleister mit einer gewissen Regelmäßigkeit prüft, ob der Stand der Technik noch abgebildet ist und ob bekannte Schwachstellen in Systemen, Topologien oder Lösungsansätzen zu beseitigen sind.

Abgeleitete weitere Maßnahmen zur zeitnahen Umsetzung

Ausgehend aus den dargestellten Sachverhalten besteht die Notwendigkeit sicherzustellen, dass niemand von extern Kontrolle über interne Systeme erlangt hat. Denkbar wäre, dass über den Exchange Server beispielsweise Drucker, Kameras, NAS-Systeme oder Maschinensteuerungen übernommen wurden und weiterhin als trojanisches Pferd agieren. Wer mit einem segmentierten Netzwerk und einer logischen Trennung geschützt durch eine Firewall seine IT-Systeme betreibt, muss sich hierbei weniger Sorgen machen. Um zu erkennen, ob Restrisiken vorhanden sind bestehen folgende Optionen: 

• Stichprobenweise einzelne Systeme überprüfen und in den Logs Anomalien suchen nach beispielsweise auffälligen Benutzeranmeldungen, Zugriffsversuche usw.
• Mit einem Schwachstellenscanner (Software Tool) lassen sich interne und externe Probleme erkennen. Das kann fallweise oder kontinuierlich implementiert werden.
• Es ist notwendig, die Firewall im Hinblick auf alle zugelassenen eingehenden Verbindungen und Kommunikationsmöglichkeiten der Server und anderen Systeme in Richtung Internet zu überprüfen.
• Als Sophos Central Kunde für Endpoints und Server Protection können Sie, auch nur für eine begrenzte Zeit, den Service auf Sophos EDR mit Managed Threat Response (MTR) erweitern. Weitere Informationen finden Sie auf der Website des Herstellers: https://www.sophos.com/de-de/products/managed-threat-response/how-to-buy.aspx
• Zudem solle eine Überprüfung der Sicherheitseinstellungen für Sophos Endpoint und Server Protection im Sophos Central als auch auf den Geräten vorgenommen werden.
• SLA Vereinbarung mit uns als IT-Dienstleister. Wir sind stetig dabei unsere Servicekapazitäten und -möglichkeiten auszubauen und zu verbessern. Das Vorhalten von Bereitschaftspersonal und den entsprechenden Kapazitäten zur kompetenten und schnellen Problemlösung bedarf einer individuellen vertraglichen Vereinbarung.

Und dann? Welche mittelfristigen Maßnahmen gibt es?

• Implementierung regelmäßiger Security Prüfungen bzw. Wartungen, sowie Planung möglicher Entwicklungsziele, wie beispielsweise:
  • Netzwerk Access Control (NAC) für den Zugang zum Netzwerk verkabelt oder drahtlos,
  • Netzwerk Segmentierung oder
  • Zwei-Faktor Authentifizierung für Client VPN und Windows Anmeldungen.
  • Single Sign On Lösungen
  • Überprüfung der administrativen Benutzerkonten mit hohen Berechtigungen und Implementierung eines rollenbasierten Zugriffskonzept.
• Schulungen der Anwender durchführen in Bezug auf die Sensibilität bei der täglichen Arbeit. Nachlässigkeit im Umgang von IT-Systemen ist nach wie vor einer der größten Risikofaktoren.
• Härtung der Systeme, mit dem BSI Grundschutz Katalog steht ein Dinosaurier an Maßnahmen zur Verfügung, mit welchen Bedrohungen stark reduziert werden können. Den gesamten Katalog abzuarbeiten würde Monate dauern. Auf dem Weg zur Steigerung der Sicherheit sollte aber kontinuierlich über einzelne Maßnahmen nachgedacht und diese implementiert werden.