Erinnert ihr euch an den Hafnium-Tanz vor einiger Zeit? Der hallt ja ziemlich lang nach. Es gibt wohl eine ProxyShell-Lücke, über die wir hier mal reden müssen. Microsoft hat sich jetzt zu etwas in Sachen Exchange Server äußern müssen, was sie vermutlich gern hätten unter den Tisch fallen lassen. Denn der Exchange Server bringt von Hause aus eine Problematik mit. Diese nennt sich ProxyShell und nebenbei auch noch ProxyLogon. Und das flog wohl Microsoft jüngst um die Ohren.
ProxyShell und ProxyLogon? Was zum Teufel?
Es begab sich aber zu jener Zeit, dass massenhaft Exchange Server angegriffen wurden. Das Konsortium nannte sich Hafnium. Und allem Anschein nach sind das Kriminelle, die irgendwie aus China oder Russland, meinetwegen auch aus dem Kosovo oder so bezahlt werden. Diese Hafnium-Geschichte wurde immer als „government-driven campaign“ angesehen. Jedenfalls gab es dazu dann Sicherheitsupdates von Microsoft, die die schlimmsten Löcher gestopft haben.
Jedenfalls erlebe ich es in meiner täglichen Arbeit immer wieder, dass es Firmen gibt, die ihre Exchange-Infrastruktur offen wie ein Scheunentor halten. Frei nach dem Motto: „Na, uns ist noch nie etwas passiert“. Tja, und für diese haben sich Angreifer etwas überlegt, das Sicherheitslücken beim Exchange Server ausnutzt, die allesamt „ProxyShell“ genannt werden. Die Bezeichnungen lauten CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207. Für Exchange Server 2013-2019 gibt es dafür sogar Updates.
Wie bei der Hafnium-Geschichte werden bei dieser Nummer Fehler und Lücken in der „ProxyShell“ gesucht und ausgenutzt. Die Angreifer können dann, wenn sie fündig werden, beliebigen Code ausführen. Dem kann man aus dem Weg gehen, wenn man die aktuellen Patches installiert. Oben habe ich den April-Patch verlinkt, aber es gibt auch noch den Mai-Patch. Sowohl als auch: Damit werden diese Lücken geschlossen. Man muss halt installieren. Und zwar, wie es im Artikel beschrieben ist.
Exchange, ProxyShell und Antivirus
Es ist nun einmal so, dass man bei solchen Angriffen immer auch ein mulmiges Gefühl hat, was die eingesetzte Antivirus-Lösung so drauf hat. Ist sie richtig eingestellt? Ist sie intelligent genug? Jahrelang habe ich empfohlen, für Exchange Server Ausschlüsse im Antivirus zu definieren. Microsoft beschreibt das dann so. Und so war ich dann doch überrascht, als ich las, dass diese Ausschlüsse nicht in jedem Fall so eine großartige Idee sein sollen. Ja, wie denn nun?
Und dann kam Microsoft um die Ecke und hat sich auch geäußert. Sie haben sogar noch einen neueren Patch als die beiden genannten unters Volk geworfen, nämlich den Juli-Patch. Und da fällt mir doch glatt etwas ein: Wie war das mit AMSI? Genau, das wird mit dem Patch gemacht. Und spätestens danach sollen laut Microsoft ProxyShell und ProxyLogon keine Gefahr mehr darstellen. Da macht AMSI schon mehr Probleme.
Jedenfalls ist es eine hervorragende Idee, zum Einen neuralgische Systeme wie Exchange Server immer aktuell zu patchen und zum Anderen Dokumentationen zu lesen. Es ist ja alles soweit bekannt. Microsoft hält ja mit nichts hinterm Berg. Und so, wie ich denke, dass „Weiter -> Weiter -> Fertigstellen“ keine gute Idee ist, so denke ich halt auch, dass es keine gute Idee ist, Dokumentationen wie die obige Ausschlussliste nicht zu hinterfragen.
Admins sind gefragt
Wir machen im Support viel. Aber auf alles haben wir eben auch keinen Einfluss. Wenn jemand einfach keine Updates installiert oder seine Sicherheitssoftware nicht konfiguriert, dann haben wir halt einfach keine Chance. Und wenn dann irgendeine prominente Sicherheitslücke ausgenutzt wird durch solche Fehler, ist es meistens zu spät. Natürlich ist es zeitlich schwierig, neben dem Tagesgeschäft noch Dokumentationen zu lesen. Aber wie soll es denn anders gehen?
Diese Geschichte rund um die ProxyShell und ProxyLogon kann leicht vermieden werden. Es liegt alt alles auf der Straße, man muss es aufsammeln. In dem Zusammenhang sind immer die Admins gefragt, der Support kann nur Hinweise geben. Natürlich weiß ich, dass das nicht immer so leicht ist. Man müsste dann vielleicht auch klar die Konsequenzen aufzeigen. Oder was meint ihr dazu?