IT-Sicherheitsexperte: "Bei den Exchange-Fällen waren wir am Limit"

Tim Philipp Schäfers hat gerade viel zu tun. Er arbeitet in der Incident Response und wird gerufen, wenn es in Sachen IT-Sicherheit brennt. Und das tut es mit den Proxylogon-Sicherheitslücken in Microsoft Exchange gerade weltweit. Zehntausende Server waren allein hierzulande betroffen.

Ursprünglich kommt Schäfers aus der Pentesting- und Bug-Bounty-Szene und hat schon manche Sicherheitslücke entdeckt und gemeldet. Beispielsweise die Steuerungen von Klär- und Wasserwerken oder Microsoft-Parkhäusern, die ungeschützt im Internet waren.

Nun sichert er Exchange-Server ab und hat sich trotz der vielen Arbeit etwas Zeit genommen, um mit Golem.de über seine Erfahrungen bei dem Exchange-Desaster zu sprechen.

Golem.de: Sie helfen Firmen, schnell auf Angriffe zu reagieren und Sicherheitslücken in ihrer IT zu schließen. Mit den Attacken auf die Microsoft Exchange Server haben Sie gerade mit einem besonders schweren Fall zu tun. Wie kommen Sie zu Ihren Incident-Response-Jobs - und wie sind Sie speziell zu diesem gekommen?

Stellenmarkt

1. Evotec SE, Hamburg
2. operational services GmbH & Co. KG, verschiedene Standorte

Tim Philipp Schäfers: Entweder werde ich plötzlich gerufen, weil irgendwo die Hütte brennt, oder ich frage meine Kontakte, ob sie eine bestimmte Bedrohung auf dem Schirm oder sogar schon reagiert haben.

Im Fall von Exchange gab es auch Firmen, die mich ein, zwei Wochen nach dem von Microsoft veröffentlichten Patch kontaktiert haben, weil der Chef im Handelsblatt etwas über die Proxylogon-Sicherheitslücke gelesen hatte.

Golem.de: Das heißt vielen Unternehmen war gar nicht bewusst, dass sie betroffen sind?

Schäfers: Ich kann nur von den Unternehmen sprechen, mit denen ich im Zusammenhang mit Incident Response Kontakt hatte. Da wussten dementsprechend die meisten von den Lücken. Erstaunlich war aber, dass manchen nicht bewusst war, dass sie Port 443 am Netz hatten - obwohl sie die Webdienste wie Outlook-Webmail oder Active Sync gar nicht genutzt hatten.

Einige Firmen wären geschützt gewesen, wenn sie die nicht verwendeten Dienste einfach abgedreht hätten. Manche sind genau so einem Hack entgangen. Es gilt eben wie überall in der IT-Sicherheit: Deaktiviere und deinstalliere, was du nicht brauchst - alles andere ist unnötige Angriffsfläche.

Golem.de: Wenn Sie gerufen werden, was machen Sie als erstes?

Schäfers: Als erstes muss ich mir einen Überblick über die Lage verschaffen: Was ist passiert? Welche Software ist betroffen? Wo gibt es weitere Informationen, beispielsweise Log-Dateien? Da muss die betroffene Firma einem auch entsprechende Zugänge geben, damit man an die Informationen kommt - sei es mit einem Admin, der einem über die Schulter guckt und einen unterstützt, oder allein. Meist ist es das Live-System, manchmal auch nur eine Kopie.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Golem.de: Wie sind Sie im Fall von Exchange vorgegangen?

Schäfers: Ich habe mir relativ schnell eigene Powershell-Skripte geschrieben, um die Prüfroutine zu automatisieren. Das Ausnutzen der verschiedenen Proxylogon-Zero-Days hinterlässt immer bestimmte Spuren. Anhand dieser konnte ich erkennen, ob und welche der Sicherheitslücken ausgenutzt wurden.

Da die Sicherheitslücken in einer Chain, also aufeinander aufbauend, ausgenutzt wurden, lässt sich dann auch abschätzen, wie tief die Eindringlinge in die Systeme vorgedrungen sind und ob bereits E-Mails oder andere Daten abgegriffen wurden.

"Skripte von Microsoft detektierten Anfangs auch Versuche als Angriffe"

Ich hatte beispielsweise mehrere Fälle, bei denen nur die erste Sicherheitslücke ausgenutzt wurde, aber keine weitere Infizierung stattgefunden hatte. Auch eine Webshell/Backdoor wurde nicht installiert. Letztlich machen die Skripte, die Microsoft nach und nach veröffentlicht hat, sehr ähnliche Dinge. Allerdings hatten diese anfangs False-Positives, die ziemlich für Verwirrung gesorgt haben.

Golem.de: Die Skripte haben also einen Angriff angezeigt, obwohl gar keiner stattgefunden hat?

Schäfers: Genau. Das Ausnutzen der initialen Sicherheitslücke benötigt immer die Kenntnis einer existierenden E-Mail-Adresse. Die Angreifer müssen diese nicht kontrollieren, es muss sie einfach nur auf dem Server geben. Als die Angriffe ab Februar im großen Stil gefahren wurden, verwendeten sie meist so klassische E-Mail-Adressen wie webmaster@, die es auf den meisten Servern gibt - aber eben nicht auf allen.

Die Skripte von Microsoft detektierten anfangs jeden - auch nicht erfolgreichen - Angriff und meldeten eine Infizierung. Das haben sie später geändert. Sprich, die alte Version hat eine Infizierung gemeldet, die neue nicht mehr. Das hat für viel Verwirrung gesorgt.