IT-Sicherheitsexperte: "Bei den Exchange-Fällen waren wir am Limit"

Tim Philipp Schäfers hilft aktuell Firmen, Sicherheitslücken in Exchange zu schließen. Einige hätten Schäden recht einfach verhindern können, sagt er.

Ein Interview von veröffentlicht am
Die Kontrolle über den Exchange-Server zurückbekommen? Incident Response hilft.
Die Kontrolle über den Exchange-Server zurückbekommen? Incident Response hilft. (Bild: Antonynjoro/Pixabay)

Tim Philipp Schäfers hat gerade viel zu tun. Er arbeitet in der Incident Response und wird gerufen, wenn es in Sachen IT-Sicherheit brennt. Und das tut es mit den Proxylogon-Sicherheitslücken in Microsoft Exchange gerade weltweit. Zehntausende Server waren allein hierzulande betroffen.

Inhalt:
  1. IT-Sicherheitsexperte: "Bei den Exchange-Fällen waren wir am Limit"
  2. "Microsoft hätte Lücken nicht vorab mit staatlichen Stellen teilen sollen"

Ursprünglich kommt Schäfers aus der Pentesting- und Bug-Bounty-Szene und hat schon manche Sicherheitslücke entdeckt und gemeldet. Beispielsweise die Steuerungen von Klär- und Wasserwerken oder Microsoft-Parkhäusern, die ungeschützt im Internet waren.

Nun sichert er Exchange-Server ab und hat sich trotz der vielen Arbeit etwas Zeit genommen, um mit Golem.de über seine Erfahrungen bei dem Exchange-Desaster zu sprechen.

Golem.de: Sie helfen Firmen, schnell auf Angriffe zu reagieren und Sicherheitslücken in ihrer IT zu schließen. Mit den Attacken auf die Microsoft Exchange Server haben Sie gerade mit einem besonders schweren Fall zu tun. Wie kommen Sie zu Ihren Incident-Response-Jobs - und wie sind Sie speziell zu diesem gekommen?

Stellenmarkt
  1. Senior Solution Architect (m/w/d)
    operational services GmbH & Co. KG, Frankfurt am Main
  2. Security Analyst (m/w/d)
    Deutsche Rentenversicherung Baden-Württemberg, Stuttgart, Karlsruhe
Detailsuche

Tim Philipp Schäfers: Entweder werde ich plötzlich gerufen, weil irgendwo die Hütte brennt, oder ich frage meine Kontakte, ob sie eine bestimmte Bedrohung auf dem Schirm oder sogar schon reagiert haben.

Im Fall von Exchange gab es auch Firmen, die mich ein, zwei Wochen nach dem von Microsoft veröffentlichten Patch kontaktiert haben, weil der Chef im Handelsblatt etwas über die Proxylogon-Sicherheitslücke gelesen hatte.

Golem.de: Das heißt vielen Unternehmen war gar nicht bewusst, dass sie betroffen sind?

Schäfers: Ich kann nur von den Unternehmen sprechen, mit denen ich im Zusammenhang mit Incident Response Kontakt hatte. Da wussten dementsprechend die meisten von den Lücken. Erstaunlich war aber, dass manchen nicht bewusst war, dass sie Port 443 am Netz hatten - obwohl sie die Webdienste wie Outlook-Webmail oder Active Sync gar nicht genutzt hatten.

Einige Firmen wären geschützt gewesen, wenn sie die nicht verwendeten Dienste einfach abgedreht hätten. Manche sind genau so einem Hack entgangen. Es gilt eben wie überall in der IT-Sicherheit: Deaktiviere und deinstalliere, was du nicht brauchst - alles andere ist unnötige Angriffsfläche.

Golem.de: Wenn Sie gerufen werden, was machen Sie als erstes?

Schäfers: Als erstes muss ich mir einen Überblick über die Lage verschaffen: Was ist passiert? Welche Software ist betroffen? Wo gibt es weitere Informationen, beispielsweise Log-Dateien? Da muss die betroffene Firma einem auch entsprechende Zugänge geben, damit man an die Informationen kommt - sei es mit einem Admin, der einem über die Schulter guckt und einen unterstützt, oder allein. Meist ist es das Live-System, manchmal auch nur eine Kopie.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Golem.de: Wie sind Sie im Fall von Exchange vorgegangen?

Schäfers: Ich habe mir relativ schnell eigene Powershell-Skripte geschrieben, um die Prüfroutine zu automatisieren. Das Ausnutzen der verschiedenen Proxylogon-Zero-Days hinterlässt immer bestimmte Spuren. Anhand dieser konnte ich erkennen, ob und welche der Sicherheitslücken ausgenutzt wurden.

Da die Sicherheitslücken in einer Chain, also aufeinander aufbauend, ausgenutzt wurden, lässt sich dann auch abschätzen, wie tief die Eindringlinge in die Systeme vorgedrungen sind und ob bereits E-Mails oder andere Daten abgegriffen wurden.

"Skripte von Microsoft detektierten Anfangs auch Versuche als Angriffe"

Ich hatte beispielsweise mehrere Fälle, bei denen nur die erste Sicherheitslücke ausgenutzt wurde, aber keine weitere Infizierung stattgefunden hatte. Auch eine Webshell/Backdoor wurde nicht installiert. Letztlich machen die Skripte, die Microsoft nach und nach veröffentlicht hat, sehr ähnliche Dinge. Allerdings hatten diese anfangs False-Positives, die ziemlich für Verwirrung gesorgt haben.

Golem.de: Die Skripte haben also einen Angriff angezeigt, obwohl gar keiner stattgefunden hat?

Schäfers: Genau. Das Ausnutzen der initialen Sicherheitslücke benötigt immer die Kenntnis einer existierenden E-Mail-Adresse. Die Angreifer müssen diese nicht kontrollieren, es muss sie einfach nur auf dem Server geben. Als die Angriffe ab Februar im großen Stil gefahren wurden, verwendeten sie meist so klassische E-Mail-Adressen wie webmaster@, die es auf den meisten Servern gibt - aber eben nicht auf allen.

Die Skripte von Microsoft detektierten anfangs jeden - auch nicht erfolgreichen - Angriff und meldeten eine Infizierung. Das haben sie später geändert. Sprich, die alte Version hat eine Infizierung gemeldet, die neue nicht mehr. Das hat für viel Verwirrung gesorgt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
"Microsoft hätte Lücken nicht vorab mit staatlichen Stellen teilen sollen" 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Softwarepatent
Uraltpatent könnte Microsoft Millionen kosten

Microsoft hat eine Klage um ein Software-Patent vor dem BGH verloren. Das Patent beschreibt Grundlagentechnik und könnte zahlreiche weitere Cloud-Anbieter betreffen.
Ein Bericht von Stefan Krempl

Softwarepatent: Uraltpatent könnte Microsoft Millionen kosten
Artikel
  1. Krypto: Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten
    Krypto
    Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten

    Ein Gericht hat entschieden, dass Craig Wright der Familie seines Geschäftspartners keine Bitcoins schuldet - kommt jetzt der Beweis, dass er Satoshi Nakamoto ist?

  2. Wasserstoff-Forschungszentrum: Gute Gründe für Vier-Standorte-Lösung
    Wasserstoff-Forschungszentrum
    Gute Gründe für Vier-Standorte-Lösung

    Chemnitz hätte das Wasserstoff-Forschungszentrum gerne allein gehabt. Dass es aufgeteilt wird, ärgert die Sachsen. Allerdings gibt es für die Entscheidung inhaltliche Gründe.
    Eine Recherche von Hanno Böck

  3. Spielfilm: Matrix trifft Unreal Engine 5
    Spielfilm
    Matrix trifft Unreal Engine 5

    Ist der echt? Neo taucht in einem interaktiven Programm auf Basis der Unreal Engine 5 auf. Der Preload ist bereits möglich.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Weihnachtsgeschenkt (u. a. 3 Spiele kaufen, nur 2 bezahlen) • PS5 & Xbox Series X mit o2-Vertrag bestellbar • Apple Days bei Saturn (u. a. MacBook Air M1 949€) • Switch OLED 349,99€ • Saturn-Advent: HP Reverb G2 + Controller 499,99€ • Logitech MX Keys Mini 89,99€ [Werbung]
    •  /