Zurück

„Hafnium“ Exchange-Vulnerability

Posted on by cleanmail

(Stand dieser Information: 10. März 2021, 10:30 – laufende Updates werden folgen, je nach dem wie sich die Situation entwickelt.)

„Hafnium“

Microsoft hat sich gezwungen gesehen, einen Patch ausserhalb der normalen Patchzyklen für alle zur Zeit unterstützten Versionen des Exchange-Servers zu veröffentlichen. Eine neue Bedrohung wurde bereits von Angreifern ausgenutzt, um Exchange-Server zu kompromittieren. Die Information von Microsoft finden Sie hier.

Noch bevor die Patches grossflächig ausgerollt werden konnten, wurden offensichtlich zehntausende von Exchange-Umgebungen kompromittiert. Wie ein Partner es ausdrückte: „Wir haben kaum einen Kunden, der nicht kompromittiert wurde.“

Als erste Massnahme (nach dem Aufspielen der Patches, natürlich) empfehlen wir, den Exchange auf Netzwerk-Ebene zu isolieren. Lassen Sie nur noch SMTP-Verkehr von Cleanmail her zu, falls noch nicht geschehen. Die IP-Ranges des Cleanmail Domain Gateways finden Sie hier. Falls Sie auch den Outbound Scanner nutzen, empfehlen wir zudem auch den ausgehenden Netzverkehr nur noch zu den IP-Ranges von Cleanmail zuzulassen (jeweils Port 25). Zudem sollten Sie überprüfen, welche Dienste aus dem Internet zumindest temporär unterbunden werden sollten (IMAP, ActiveSync?).

Bei einer Kompromittierung besteht die Gefahr, dass auch Passwörter abgefangen wurden. Eine Änderung der Passwörter wäre daher sinnvoll, um den Impact von Folgeaktionen der Angreifer zu minimieren. Bei der Gelegenheit kann man die Benutzer auch wieder an die Grundlagen der Passworthygiene erinnern (nicht das gleiche Passwort für verschiedene Dienste nutzen, Passwort-Manager einsetzen).

Impact auf Cleanmail-Dienste

Sowohl unser eigenes ExchangeInCloud.ch als auch das ältere Hosted Exchange bei Appriver sind gepatcht. Die Umgebungen wurden auf möglich Kompromittierungen geprüft, und es wurden keine gefunden. Es werden weitere Prüfungen stattfinden, um auf allenfalls zuvor unbekannte Kompromittierungswege zu prüfen.

Die anderen Cleanmail Dienste (Domain Gateway, Outbound Scanner, Sign+Encrypt, Mail Archive, Emergency Webmail, IncaMail Connector, …) sind von dieser Vulnerability nicht betroffen. Der Verbreitungsweg der Vulnerability ist HTTP(S) – insofern sind E-Mail-Dienste nur indirekt betroffen.

Wir werden sowohl im Domain Gateway wie auch auf dem Outbound Scanner den Mailverkehr verstärkt beobachten, um allenfalls irreguläre Verkehrsströme zu identifizieren und zu unterbinden. Wir rechnen damit, dass kompromittierte Umgebungen bald u.a. auch für den Versand von Spam missbraucht werden.

Disaster Recovery – Wie Cleanmail unterstützen kann

Falls Sie oder Ihre Kunden eine Kompromittierung der Exchange-Umgebung feststellen, werden Massnahmen nötig sein. Welche Massnahmen notwendig und sinnvoll sind, ist von Fall zu Fall (und je nach Art der Kompromittierung) unterschiedlich. Im Rahmen des Disaster Recoverys kann Cleanmail kurzfristig in folgenden Bereichen unterstützen:

  • Emergency Webmail: Falls die Exchange-Umgebung isoliert werden soll, kann mit dem Emergency Webmail die grundlegende Erreichbarkeit über Mail sichergestellt werden. Das Produkt ist auf unserer Webseite noch nicht im Detail dokumentiert, aber hier finden Sie die wichtigsten Informationen. Dieser Dienst kann auch erst nach dem Disaster-Fall aktiviert werden (aber hat dann natürlich nur die Nachrichten ab Aktivierung des Dienstes).
  • Auslieferung deaktivieren: Im Domain Gateway können Sie die Auslieferung von Nachrichten an den (deaktivierten) Exchange temporär ausschalten. Das ist auch sinnvoll, wenn der Exchange aktuell ausgeschaltet oder auf Netzwerkebene getrennt ist: falls der Exchange versehentlich „halbfertig“ erreichbar wird, können unter Umständen legitime Nachrichten zurückgewiesen werden, oder sie können im Exchange verloren gehen. Bei deaktivierter Auslieferung werden die Nachrichten standardmässig 5 Tage in der Warteschlange gehalten. Bitte informieren Sie uns über support@cleanmail.ch, um diese Frist zu verlängern.
  • ExchangeInCloud.ch: Wir können kurzfristig neue Domains bei ExchangeInCloud.ch aufschalten und Daten dorthin migrieren. Details finden Sie hier.
  • Sign+Encrypt und HIN: Falls im Zuge einer deaktivierten Exchange-Umgebung ein lokales HIN Mailgateway nicht mehr in den Mailfluss integriert werden kann, können wir die HIN-Funktionalität auf unserem Sign+Encrypt (basierend auf Seppmail) aktivieren.
  • Sign+Encrypt und IncaMail: Falls im Zuge einer deaktivierten Exchange-Umgebung die bestehende IncaMail-Integration nicht mehr genutzt werden kann, können wir das über unseren IncaMail-Connector zur Verfügung stellen. Dieses Produkt steht technisch bereits zur Verfügung, ist aber noch nicht vollständig dokumentiert. Für einen DR-Fall kann es bereits produktiv eingesetzt werden.
  • Mail Archive: Das Cleanmail Mail Archive ist komplett unabhängig von Exchange (on-premise oder MS365). Als DR-Massnahme können Benutzer alle Mails finden, unabhängig vom Zustand einer Exchange-Umgebung. Es ist auch in einer DR-Situation möglich, das Mail Archive mit einem Import über IMAP oder EWS aufzubauen (der Exchange-Server muss dafür natürlich vom Mail Archive her erreichbar gemacht werden).

Weitere Fragen?

Für weitere Fragen stehen wir Ihnen unter sales@cleanmail.ch oder über den Chat rechts unten auf dieser Seite jederzeit gerne zur Verfügung.