Weltweit mussten zahlreiche IT-Administratoren Anfang März ihre Agenda kurzfristig ändern oder Überstunden leisten. Alle Exchange-Server mussten auf den neusten Stand gebracht werden, um eine kritische Sicherheitslücke zu schliessen. Sogar der amerikanische TV-Sender CNN berichtete darüber. Aber was war eigentlich passiert?
Kritische Schwachstellen wurden bereits von Hackern ausgenutzt
Microsoft hat mehrere gezielte Zero-Day-Angriffe auf lokale Versionen von Microsoft Exchange Server entdeckt. In Cloud-Versionen von Microsofts E-Mail-Dienst gab es die Schwachstellen nicht. Gemäss Heise sind "weltweit über hunderttausend Exchange-Server bereits kompromittiert. Und stündlich werden es mehr." Die Schwachstellen können zur Remote Code-Ausführung (RCE) führen und sind deshalb besonders kritisch. Ein Hacker kann bösartige Cookies wie "X-AnonResource-Backend" und " X-BEResource" an den Server senden, um den Angriff auszulösen. Hinter den gross angelegten Attacken soll die Hackergruppe HAFNIUM stecken, der Verbindungen mit China nachgesagt werden. Wer prüfen will, ob er bereits angegriffen wurde, findet weitere Informationen im Microsoft Security Blog.
Airlock: Secure by Default
Der aufsehenerregende Vorfall zeigt, dass Web Application Firewalls wie Airlock Gateway sehr wertvoll sind. Eine WAF mit sicherer Grundeinstellung kann den Administratoren wertvolle Zeit verschaffen, weil das Ausnutzen von Schwachstellen damit wesentlich unwahrscheinlicher wird. Das gilt insbesondere für Schwachstellen, welche noch gar nicht bekannt sind. Eine Kombination von WAF-Funktionen sorgt dafür, dass die Angriffsfläche deutlich reduziert wird.
Für häufig verwendete Applikationen wie Microsoft Exchange erleichtern Standard-Vorlagen den effektiven Schutz. Airlock Gateway bietet solche Vorlagen u.a. für Exchange und SharePoint. Sowohl in diesen Vorlagen als auch in der Standard-Sicherheitspolicy ist die Cookie Protection eingeschaltet. Das schützt die Anwendung vor manipulierten Cookies, wie sie im Angriffs-Szenario für den "ProxyLogon" eingesetzt wurden.
So funktioniert die Cookie Protection
Die Cookies der Applikation werden in der Web Application Firewall in einem Cookie Store (pro Benutzer) gespeichert und gelangen standardmässig nie in den Browser. Diese Cookie Protection schützt einerseits die Anwender einer Webapplikation vor unberechtigtem Zugriff auf Cookie-Inhalte, andererseits aber auch den Server vor Modifikation von Cookie-Inhalten. Ein Angreifer kann deshalb Cookies nicht manipulieren und auch keine unbekannten Cookies an das Backend senden. Der HAFNIUM-Hack hat mehrere Schwachstellen zum Vorschein gebracht, eine davon wird mittels Cookie-Injection ausgenutzt. Diese Art von Angriff verhindert Airlock mit dem Cookie Store.
Fazit
Wer die Airlock Web Application Firewall vor seinem Microsoft Mail Server platziert hat, kann deutlich ruhiger schlafen. Voraussetzung ist natürlich, dass die WAF sicher konfiguriert ist — am besten von Haus aus. Das von Microsoft dringend empfohlene Update ist damit immer noch notwendig, aber nicht mehr ganz so dringend.
Blognews direkt in Ihr Postfach
Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.