Weltweit mussten zahlreiche IT-Administratoren Anfang März ihre Agenda kurzfristig ändern oder Überstunden leisten. Alle Exchange-Server mussten auf den neusten Stand gebracht werden, um eine kritische Sicherheitslücke zu schliessen. Sogar der amerikanische TV-Sender CNN berichtete darüber. Aber was war eigentlich passiert?

Kritische Schwachstellen wurden bereits von Hackern ausgenutzt

Microsoft hat mehrere gezielte Zero-Day-Angriffe auf lokale Versionen von Microsoft Exchange Server entdeckt. In Cloud-Versionen von Microsofts E-Mail-Dienst gab es die Schwachstellen nicht. Gemäss Heise sind "weltweit über hunderttausend Exchange-Server bereits kompromittiert. Und stündlich werden es mehr." Die Schwachstellen können zur Remote Code-Ausführung (RCE) führen und sind deshalb besonders kritisch. Ein Hacker kann bösartige Cookies wie "X-AnonResource-Backend" und " X-BEResource" an den Server senden, um den Angriff auszulösen. Hinter den gross angelegten Attacken soll die Hackergruppe HAFNIUM stecken, der Verbindungen mit China nachgesagt werden. Wer prüfen will, ob er bereits angegriffen wurde, findet weitere Informationen im Microsoft Security Blog.

Airlock: Secure by Default

Der aufsehenerregende Vorfall zeigt, dass Web Application Firewalls wie Airlock Gateway sehr wertvoll sind. Eine WAF mit sicherer Grundeinstellung kann den Administratoren wertvolle Zeit verschaffen, weil das Ausnutzen von Schwachstellen damit wesentlich unwahrscheinlicher wird. Das gilt insbesondere für Schwachstellen, welche noch gar nicht bekannt sind. Eine Kombination von WAF-Funktionen sorgt dafür, dass die Angriffsfläche deutlich reduziert wird.

Für häufig verwendete Applikationen wie Microsoft Exchange erleichtern Standard-Vorlagen den effektiven Schutz. Airlock Gateway bietet solche Vorlagen u.a. für Exchange und SharePoint. Sowohl in diesen Vorlagen als auch in der Standard-Sicherheitspolicy ist die Cookie Protection eingeschaltet. Das schützt die Anwendung vor manipulierten Cookies, wie sie im Angriffs-Szenario für den "ProxyLogon" eingesetzt wurden.

So funktioniert die Cookie Protection

Die Cookies der Applikation werden in der Web Application Firewall in einem Cookie Store (pro Benutzer) gespeichert und gelangen standardmässig nie in den Browser. Diese Cookie Protection schützt einerseits die Anwender einer Webapplikation vor unberechtigtem Zugriff auf Cookie-Inhalte, andererseits aber auch den Server vor Modifikation von Cookie-Inhalten. Ein Angreifer kann deshalb Cookies nicht manipulieren und auch keine unbekannten Cookies an das Backend senden. Der HAFNIUM-Hack hat mehrere Schwachstellen zum Vorschein gebracht, eine davon wird mittels Cookie-Injection ausgenutzt. Diese Art von Angriff verhindert Airlock mit dem Cookie Store. 

Fazit

Wer die Airlock Web Application Firewall vor seinem Microsoft Mail Server platziert hat, kann deutlich ruhiger schlafen. Voraussetzung ist natürlich, dass die WAF sicher konfiguriert ist — am besten von Haus aus. Das von Microsoft dringend empfohlene Update ist damit immer noch notwendig, aber nicht mehr ganz so dringend.

Blognews direkt in Ihr Postfach

Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.

Blognews abonnieren

Kommentare 0

Weitere interessante Artikel

Cyber Security Studie
SAH

Cyber Security Studie

Lizenz zum Angriff auf Airlock
WAF

Lizenz zum Angriff auf Airlock

Airlock Secure Access Hub - Mehr als die Summe seiner Teile
API

Airlock Secure Access Hub - Mehr als die Summe seiner Teile

Wir informieren Sie

-Unsere Whitepaper-

Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern