Der Mailserver Exchange Server von Microsoft wies mehrere schwerwiegende Sicherheitslücken auf, die zwar vor ein paar Tagen per Update geschlossen wurden, aber vermehrt von Cyberkriminellen ausgenutzt werden.
Jetzt bietet der Hersteller den Server-Admins die Möglichkeit, mit einem PowerShell-Skript zu überprüfen, ob ihr Exchange-Server schon erfolgreich angegriffen wurde.
Das PowerShell-Skript steht bei GitHub bereit
Auf dem Microsoft-GitHub-Repository ‘CSS-Exchange’ (betrieben von den ‘Support Engineers for Microsoft Exchange Server’) steht inzwischen ein PowerShell-Skript bereit, das einen oder mehrere Exchange-Server auf Spuren untersucht, die bei einem erfolgreichen Angriff zurückbleiben.
Die Schwachstellen inklusive der Updates dazu hatte Microsoft schon am 2. März veröffentlicht, aber zu diesem Zeitpunkt waren schon Angriffe beobachtet worden. Wenn ein Angreifer die Schwachstellen mit den Bezeichnungen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 miteinander kombiniert, nennt man diese Angriffsvariante einen “ProxyLogon”. Das Vorgehen erlaubt das Ausführen von Code aus der Ferne, setzt aber den aktivierten Outlook Web Access (OWA) voraus.
Das PS-Skript Test-ProxyLogon.ps1 von GitHub sucht nach Rückständen von Angriffen, die für ProxyLogon typisch sind. Die Details dazu hatte Microsoft zwar schon in einem Blogpost veröffentlicht, aber das neue Skript fasst die manuellen Tests jetzt zusammen und macht es den Admins deutlich leichter, ihre Exchange-Server zu überprüfen. Das Skript durchsucht zu dem Zweck die Exchange-Logs, die Exchange-HttpProxy-Logs und auch die Windows-Application-Event-Logs.
Der Aufruf des Scripts
Bei einem lokalen Exchange-Server (auf der Exchange Management Shell) gibt das Skript seine Ergebnisse beim Aufruf direkt aus:
.\Test-ProxyLogon.ps1
Die Ausgabe kann man aber auch abspeichern:
.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs
Betreiber mehrerer Exchange-Server können damit auch alle Systeme mit einem Aufruf untersuchen und die Ergebnisse speichern:
Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs
Erst Updates einspielen, dann Script starten
Dabei sollten Exchange-Administratoren die Sicherheitslücken sofort durch das Einspielen der neuesten Updates schließen und ihre Systeme dann möglichst auch mit diesem Skript auf einen möglichen Angriff untersuchen.
Das Ausmaß der schon erfolgten Angriffe ist offenbar sehr groß, Schätzungen gehen von einigen zehntausend Systemen allein in Deutschland aus, die zumindest angreifbar sind und wahrscheinlich auch schon angegriffen wurden. Auch das BSI warnt vor einem Fiasko für die IT-Sicherheit und rät dringend dazu, jetzt aktiv zu werden.