Weltweit mussten zahlreiche IT-Administratoren Anfang März ihre Agenda kurzfristig ändern oder Überstunden leisten. Alle Exchange-Server mussten auf den neusten Stand gebracht werden, um eine kritische Sicherheitslücke zu schliessen. Sogar der amerikanische TV-Sender CNN berichtete darüber. Aber was war eigentlich passiert?

Kritische Schwachstellen wurden bereits von Hackern ausgenutzt

Microsoft hat mehrere gezielte Zero-Day-Angriffe auf lokale Versionen von Microsoft Exchange Server entdeckt. In Cloud-Versionen von Microsofts E-Mail-Dienst gab es die Schwachstellen nicht. Gemäss Heise sind "weltweit über hunderttausend Exchange-Server bereits kompromittiert. Und stündlich werden es mehr." Die Schwachstellen können zur Remote Code-Ausführung (RCE) führen und sind deshalb besonders kritisch. Ein Hacker kann bösartige Cookies wie "X-AnonResource-Backend" und " X-BEResource" an den Server senden, um den Angriff auszulösen. Hinter den gross angelegten Attacken soll die Hackergruppe HAFNIUM stecken, der Verbindungen mit China nachgesagt werden. Wer prüfen will, ob er bereits angegriffen wurde, findet weitere Informationen im Microsoft Security Blog.

Airlock: Secure by Default

Der aufsehenerregende Vorfall zeigt, dass Web Application Firewalls wie Airlock Gateway sehr wertvoll sind. Eine WAF mit sicherer Grundeinstellung kann den Administratoren wertvolle Zeit verschaffen, weil das Ausnutzen von Schwachstellen damit wesentlich unwahrscheinlicher wird. Das gilt insbesondere für Schwachstellen, welche noch gar nicht bekannt sind. Eine Kombination von WAF-Funktionen sorgt dafür, dass die Angriffsfläche deutlich reduziert wird.

Für häufig verwendete Applikationen wie Microsoft Exchange erleichtern Standard-Vorlagen den effektiven Schutz. Airlock Gateway bietet solche Vorlagen u.a. für Exchange und SharePoint. Sowohl in diesen Vorlagen als auch in der Standard-Sicherheitspolicy ist die Cookie Protection eingeschaltet. Das schützt die Anwendung vor manipulierten Cookies, wie sie im Angriffs-Szenario für den "ProxyLogon" eingesetzt wurden.

So funktioniert die Cookie Protection

Die Cookies der Applikation werden in der Web Application Firewall in einem Cookie Store (pro Benutzer) gespeichert und gelangen standardmässig nie in den Browser. Diese Cookie Protection schützt einerseits die Anwender einer Webapplikation vor unberechtigtem Zugriff auf Cookie-Inhalte, andererseits aber auch den Server vor Modifikation von Cookie-Inhalten. Ein Angreifer kann deshalb Cookies nicht manipulieren und auch keine unbekannten Cookies an das Backend senden. Der HAFNIUM-Hack hat mehrere Schwachstellen zum Vorschein gebracht, eine davon wird mittels Cookie-Injection ausgenutzt. Diese Art von Angriff verhindert Airlock mit dem Cookie Store. 

Fazit

Wer die Airlock Web Application Firewall vor seinem Microsoft Mail Server platziert hat, kann deutlich ruhiger schlafen. Voraussetzung ist natürlich, dass die WAF sicher konfiguriert ist — am besten von Haus aus. Das von Microsoft dringend empfohlene Update ist damit immer noch notwendig, aber nicht mehr ganz so dringend.

Blognews direkt in Ihr Postfach

Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.

Blognews abonnieren

Keine Blogbeiträge

Die Liste enthält keine Blogbeiträge.

Wir informieren Sie

-Unsere Whitepaper-

Executive View: KuppingerCole - Airlock Secure Acces Hub für Applications und APIs

Dieser KuppingerCole Executive View Bericht gibt einen architektonischen und funktionalen Überblick über den Airlock Secure Access Hub, eine integrierte Plattform für sicheres Access Management - ein multicloud-natives Sicherheitstool für Webanwendungen, APIs und darüber hinaus.

Jetzt Formular ausfüllen und Executive View erhalten!

Whitepaper: Sicherheit für cloudnative Anwendungen

Wie es Unternehmen gelingt, die Sicherheit von Web-Applikationen und APIs in Kubernetes zu gewährleisten lesen Sie hier im Whitepaper "Sicherheit für cloudnative Anwendungen“, das in Zusammenarbeit zwischen heise und Airlock entstanden ist.

Whitepaper anfordern

Whitepaper: Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern