• IT-Karriere:
  • Services:

IT-Sicherheitsexperte: "Bei den Exchange-Fällen waren wir am Limit"

Tim Philipp Schäfers hilft aktuell Firmen, Sicherheitslücken in Exchange zu schließen. Einige hätten Schäden recht einfach verhindern können, sagt er.

Ein Interview von veröffentlicht am
Die Kontrolle über den Exchange-Server zurückbekommen? Incident Response hilft.
Die Kontrolle über den Exchange-Server zurückbekommen? Incident Response hilft. (Bild: Antonynjoro/Pixabay)

Tim Philipp Schäfers hat gerade viel zu tun. Er arbeitet in der Incident Response und wird gerufen, wenn es in Sachen IT-Sicherheit brennt. Und das tut es mit den Proxylogon-Sicherheitslücken in Microsoft Exchange gerade weltweit. Zehntausende Server waren allein hierzulande betroffen.

Inhalt:
  1. IT-Sicherheitsexperte: "Bei den Exchange-Fällen waren wir am Limit"
  2. "Microsoft hätte Lücken nicht vorab mit staatlichen Stellen teilen sollen"

Ursprünglich kommt Schäfers aus der Pentesting- und Bug-Bounty-Szene und hat schon manche Sicherheitslücke entdeckt und gemeldet. Beispielsweise die Steuerungen von Klär- und Wasserwerken oder Microsoft-Parkhäusern, die ungeschützt im Internet waren.

Nun sichert er Exchange-Server ab und hat sich trotz der vielen Arbeit etwas Zeit genommen, um mit Golem.de über seine Erfahrungen bei dem Exchange-Desaster zu sprechen.

Golem.de: Sie helfen Firmen, schnell auf Angriffe zu reagieren und Sicherheitslücken in ihrer IT zu schließen. Mit den Attacken auf die Microsoft Exchange Server haben Sie gerade mit einem besonders schweren Fall zu tun. Wie kommen Sie zu Ihren Incident-Response-Jobs - und wie sind Sie speziell zu diesem gekommen?

Stellenmarkt
  1. Allianz Versicherungs-AG, München Unterföhring
  2. MVV Energie AG, Mannheim

Tim Philipp Schäfers: Entweder werde ich plötzlich gerufen, weil irgendwo die Hütte brennt, oder ich frage meine Kontakte, ob sie eine bestimmte Bedrohung auf dem Schirm oder sogar schon reagiert haben.

Im Fall von Exchange gab es auch Firmen, die mich ein, zwei Wochen nach dem von Microsoft veröffentlichten Patch kontaktiert haben, weil der Chef im Handelsblatt etwas über die Proxylogon-Sicherheitslücke gelesen hatte.

Golem.de: Das heißt vielen Unternehmen war gar nicht bewusst, dass sie betroffen sind?

Schäfers: Ich kann nur von den Unternehmen sprechen, mit denen ich im Zusammenhang mit Incident Response Kontakt hatte. Da wussten dementsprechend die meisten von den Lücken. Erstaunlich war aber, dass manchen nicht bewusst war, dass sie Port 443 am Netz hatten - obwohl sie die Webdienste wie Outlook-Webmail oder Active Sync gar nicht genutzt hatten.

Einige Firmen wären geschützt gewesen, wenn sie die nicht verwendeten Dienste einfach abgedreht hätten. Manche sind genau so einem Hack entgangen. Es gilt eben wie überall in der IT-Sicherheit: Deaktiviere und deinstalliere, was du nicht brauchst - alles andere ist unnötige Angriffsfläche.

Golem.de: Wenn Sie gerufen werden, was machen Sie als erstes?

Schäfers: Als erstes muss ich mir einen Überblick über die Lage verschaffen: Was ist passiert? Welche Software ist betroffen? Wo gibt es weitere Informationen, beispielsweise Log-Dateien? Da muss die betroffene Firma einem auch entsprechende Zugänge geben, damit man an die Informationen kommt - sei es mit einem Admin, der einem über die Schulter guckt und einen unterstützt, oder allein. Meist ist es das Live-System, manchmal auch nur eine Kopie.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Golem.de: Wie sind Sie im Fall von Exchange vorgegangen?

Schäfers: Ich habe mir relativ schnell eigene Powershell-Skripte geschrieben, um die Prüfroutine zu automatisieren. Das Ausnutzen der verschiedenen Proxylogon-Zero-Days hinterlässt immer bestimmte Spuren. Anhand dieser konnte ich erkennen, ob und welche der Sicherheitslücken ausgenutzt wurden.

Da die Sicherheitslücken in einer Chain, also aufeinander aufbauend, ausgenutzt wurden, lässt sich dann auch abschätzen, wie tief die Eindringlinge in die Systeme vorgedrungen sind und ob bereits E-Mails oder andere Daten abgegriffen wurden.

"Skripte von Microsoft detektierten Anfangs auch Versuche als Angriffe"

Ich hatte beispielsweise mehrere Fälle, bei denen nur die erste Sicherheitslücke ausgenutzt wurde, aber keine weitere Infizierung stattgefunden hatte. Auch eine Webshell/Backdoor wurde nicht installiert. Letztlich machen die Skripte, die Microsoft nach und nach veröffentlicht hat, sehr ähnliche Dinge. Allerdings hatten diese anfangs False-Positives, die ziemlich für Verwirrung gesorgt haben.

Golem.de: Die Skripte haben also einen Angriff angezeigt, obwohl gar keiner stattgefunden hat?

Schäfers: Genau. Das Ausnutzen der initialen Sicherheitslücke benötigt immer die Kenntnis einer existierenden E-Mail-Adresse. Die Angreifer müssen diese nicht kontrollieren, es muss sie einfach nur auf dem Server geben. Als die Angriffe ab Februar im großen Stil gefahren wurden, verwendeten sie meist so klassische E-Mail-Adressen wie webmaster@, die es auf den meisten Servern gibt - aber eben nicht auf allen.

Die Skripte von Microsoft detektierten anfangs jeden - auch nicht erfolgreichen - Angriff und meldeten eine Infizierung. Das haben sie später geändert. Sprich, die alte Version hat eine Infizierung gemeldet, die neue nicht mehr. Das hat für viel Verwirrung gesorgt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
"Microsoft hätte Lücken nicht vorab mit staatlichen Stellen teilen sollen" 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Anonymouse 06. Apr 2021 / Themenstart

Wie ich in meinem ersten Satz schrieb, ja.

Profi_in_allem 03. Apr 2021 / Themenstart

Warum sollte jemand sein Wissen und Know-How verschenken? Ich nehme mal folgendes...

Michael H. 31. Mär 2021 / Themenstart

Richtig. Kurz gesagt. Port 443 hatte bei den angesprochenen Unternehmen eine...

Kommentieren


Folgen Sie uns
       


Automatische Untertitel in Premiere Pro Beta - Tutorial

Wir zeigen, wie sich Untertitel per KI-Spracherkennung erzeugen lassen.

Automatische Untertitel in Premiere Pro Beta - Tutorial Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /