0
(Noch nicht bewertet)
9. Oktober 2015
DataOne Blog

Exchange Server (K)eine neue Sicherheitslücke in OWA?!

Irgendetwas stimmt hier nicht. Beinahe täglich liest man in IT-Medien und Foren Berichte über Halbwahrheiten oder schlichtweg falsche Behauptungen, die die Produkte und Lösungen betreffen, für die ich als Architect – Microsoft Cloud and Messaging Solutions zuständig und von denen ich überzeugt bin. So auch jetzt wieder, als darüber berichtet wird, dass es in Outlook Web Access eine neue Sicherheitslücke gäbe, über die es möglich sei, Unternehmenscredentials abzugreifen. Oder geht es um Outlook Web App? Oder um Outlook on the web? Hier fängt es schon an – nichts genaues weiß man.


Was war geschehen?

Die Sicherheitsfirma Cybereason beschreibt einen Fall, in dem es gelungen ist, über einen Backdoor-Angriff auf die Outlook Web Application die Anmeldeinformationen von Benutzern abzugreifen. Leider ist die gesamte Argumentation in sich nicht schlüssig, da weder davon berichtet wird, um welche Version von Exchange Server es sich handelt oder auf welcher Betriebssystemversion dieser installiert wurde, noch davon, ob die ompromittierten Systeme aktuell gepatcht waren. Mittlerweile hat Cybereason selbst in einer Antwort auf Graham Cluleys Blogpost klar gestellt, dass der Angriff mit gestohlenen Anmeldedaten erfolgte:

„The hackers managed to obtain access to this server using stolen credentials.“

Microsoft sieht das ähnlich. Das Exchange-Team hat den Fall ebenfalls analysiert und kommt zu dem Schluss, dass der Angreifer über Anmeldeinformationen verfügt haben musste, mit denen er sich am EExchange Server anmelden, Dateien im Dateisystem austauschen und den Webdienst neu starten können musste.

„The “attack” in question could only be initiated by an individual who had administrative access to a server’s file system and services, or who had permission to logon to an Exchange Server console with the rights to replace Exchange system files, and perform an Internet Information Server (IIS) reset.“

Im Grunde bleibt also festzuhalten: Die Aussage, dass eine kritische Sicherheitslücke in Exchange Server allgemein besteht, ist nicht richtig. Wenn eine Exchange Server-Infrastruktur ordentlich geplant und implementiert wurde, die Systeme aktuell gehalten werden und Unternehmen mit ihren administrativen Benutzerkonten sicherheitsbewusst umgehen ist und bleibt Exchange Server ein sicheres Messagingsystem. Eine Empfehlung unsererseits lautet hierbei, die Zugriffe auf die Webdienste per Multi-Faktor-Authentifizierung abzusichern.

Wenn Sie nicht sicher sind, ob Ihre Exchange-Infrastruktur nach Best Practices aufgebaut wurde, sprechen Sie uns an – gerne analysieren wir Ihre Umgebung und sprechen Empfehlungen aus, um Ihre Umgebung sicher(er) zu machen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.