Absicherung von Exchange-Servern

In zwei Punkten sind sich die meisten Cybersicherheits-Experten einig: Angriffe auf Microsoft Exchange Server gelten als unvermeidlich und es besteht ein sehr hohes Kompromittierungsrisiko. Im Oktober hat Microsoft den Support für Exchange Server 2019 eingestellt. Damit ist die Exchange Server Subscription Edition (Exchange SE) ab 2026 die einzige unterstützte lokale Lösung. Trotzdem verwenden viele Unternehmen weiterhin Exchange Server 2016, 2013 und noch ältere Versionen.

Für Angreifer ist Exchange ein unwiderstehliches Ziel. Popularität, Komplexität, eine Fülle an Einstellungen und in erster Linie die Erreichbarkeit aus externen Netzwerken machen es anfällig für eine Vielzahl von Attacken:

• Infiltration von E-Mail-Konten durch Password-Spraying oder gezieltes Phishing (Spearphishing)
• Kompromittierung von Benutzerkonten über veraltete Authentifizierungsverfahren
• Diebstahl bestimmter E-Mail-Konten. Dazu werden über Exchange-Webdienste schädliche E-Mail-Verarbeitungsregeln injiziert
• Diebstahl von Token zur Authentifizierung von Mitarbeitern oder Fälschung von Nachrichten. Hierbei wird die unsichere Exchange-Infrastruktur für die E-Mail-Verarbeitung ausgenutzt
• Ausnutzung von Schwachstellen in Exchange und IIS (Internetinformationsdienste), um auf dem Server beliebigen Code auszuführen (Web-Shells bereitzustellen)
• Ausbreitung über das Netzwerk und Kompromittierung von Servern. Dabei wird der Exchange-Server zum Ansatzpunkt für Netzwerkspionage, Malware-Hosting und Datenverkehrs-Tunneling
• Langfristige E-Mail-Exfiltration durch spezielle Exchange-Implantate

Exchange-Angriffe sind komplex und vielfältig. Darum lohnt sich ein Blick in Studien zu Bedrohungen wie GhostContainer, Owowa, ProxyNotShell und PowerExchange.

Es ist durchaus möglich, Angreifern die Kompromittierung von Exchange zu erschweren und die Auswirkungen eines erfolgreichen Angriffs abzumildern. Dies erfordert jedoch eine Vielzahl von Maßnahmen – von einfachen Konfigurationsänderungen bis hin zu aufwendigen Migrationen des Authentifizierungsprotokolls. Die CISA, das Canadian Center for Cyber Security und andere Aufsichtsbehörden für Cybersicherheit haben vor Kurzem einen Leitfaden zu den wichtigsten Schutzmaßnahmen veröffentlicht. Welche Schritte sind für die Absicherung deines lokalen Exchange-Servers erforderlich?

Veraltete Versionen ersetzen

Sowohl Microsoft als auch die CISA empfehlen den Umstieg auf Exchange SE, um Sicherheits-Updates rechtzeitig zu erhalten. Für Unternehmen, die den Wechsel nicht sofort durchführen können, gibt es ein kostenpflichtiges Abonnement mit erweiterten Sicherheits-Updates (ESU) für die Versionen 2016 und 2019. Microsoft betont, dass der Aufwand für ein Upgrade von Version 2016 oder 2019 auf Exchange SE mit der Installation eines standardmäßigen kumulativen Updates vergleichbar ist.

Wenn du trotz allem eine nicht unterstützte Version beibehalten möchtest, muss diese gründlich sowohl vom internen als auch vom externen Netzwerk isoliert werden. Der gesamte E-Mail-Verkehr sollte durch ein speziell konfiguriertes Gateway für E-Mail-Sicherheit fließen.

Regelmäßige Updates

Microsoft veröffentlicht zwei kumulative Updates (KUs) pro Jahr. Daneben erscheinen monatliche Sicherheits-Hotfixes. Wichtig: Exchange-Administratoren müssen eine zuverlässige Bereitstellung dieser Updates einrichten, da Angreifer bekannte Schwachstellen innerhalb kürzester Zeit ausnutzen können. Den Zeitplan und die Inhalte dieser Updates findest du auf der offiziellen Microsoft-Seite. Natürlich musst du auch den Integritäts- und Update-Status deiner Exchange-Installation verfolgen. Dafür eignen sich Tools wie SetupAssist und Exchange Health Checker.

Dringende Maßnahmen

Wie sich kritische, aktiv ausgenutzte Schwachstellen vorläufig entschärfen lassen, wird normalerweise im Exchange Team Blog und auf der Seite Exchange Emergency Mitigation erläutert. Auf deinen Exchange-Mailbox-Servern sollte der Dienst „Emergency Mitigation“ (EM) aktiviert sein. EM stellt automatisch eine Verbindung mit dem Office-Konfigurationsdienst (Office Config Service) her und lädt Regeln zur Entschärfung kritischer Bedrohungen herunter. Diese Maßnahmen helfen dabei, anfällige Dienste schnell zu deaktivieren und bösartige Anfragen zu blockieren. Dazu dienen Rewrite-Regeln für URLs in IIS.

Sichere Baselines

Ein einheitlicher, unternehmensweit gültiger Satz von Einstellungen, die für das Unternehmen optimiert sind, muss auf Exchange-Server, auf Mail-Clients aller Plattformen und auf Betriebssysteme angewendet werden.

Die empfohlenen Sicherheits-Baselines unterscheiden sich je nach Betriebssystem und Exchange-Version. Dafür verweist der CISA-Leitfaden auf die gängigen, frei verfügbaren Anweisungen von CIS Benchmarks und Microsoft. Die neueste CIS Benchmark wurde für Exchange 2019 erstellt, ist aber auch vollständig auf Exchange SE anwendbar, da sich die konfigurierbaren Optionen der aktuellen Abo-Edition nicht von Exchange Server 2019 CU15 unterscheiden.

Spezielle Sicherheitslösungen

Viele Unternehmen machen einen gravierenden Fehler: Ihre Exchange-Server verfügen nicht über EDR- und EPP-Agenten. Um die Ausnutzung von Schwachstellen und die Ausführung von Web-Shells zu verhindern, muss der Server durch eine Sicherheitslösung mit Exploit-Prävention geschützt werden. Eine gute Option ist [EDR placeholder]. Exchange Server lässt sich in Antimalware Scan Interface (AMSI) integrieren, damit Sicherheitstools serverseitige Ereignisse effektiv verarbeiten können.

Erlaubnislisten für Programme können Angreifer erheblich dabei stören, Schwachstellen in Exchange auszunutzen. Die meisten modernen EPP-Lösungen habe diese Funktion standardmäßig an Bord. Wenn du auf native Windows-Tools angewiesen bist, kannst du nicht vertrauenswürdige Programme über App Control for Business oder AppLocker einschränken.

Zum Schutz von Mitarbeitern und Geräten sowie zur Filterung des E-Mail-Datenverkehrs sollte der Server eine Lösung wie Kaspersky Security for Mail Server verwenden. Dadurch werden gleich mehrere Probleme gelöst, für die das standardmäßige lokale Exchange keine Tools bietet: beispielsweise die Authentifizierung des Absenders über die Protokolle SPF, DKIM und DMARC oder der Schutz vor komplexem Spam und Spearphishing.

Falls auf dem Server kein vollständiges EDR bereitgestellt wird, musst du unbedingt den standardmäßigen Anti-Virus aktivieren und sicherstellen, dass die Regel „Webshellerstellung für Server blockieren“ zur Verringerung der Angriffsfläche (ASR) aktiviert ist.

Damit der Server nicht durch das standardmäßige Antivirenprogramm ausgebremst wird, empfiehlt Microsoft, bestimmte Dateien und Ordner von der Untersuchung auszuschließen.

Eingeschränkter Administratorzugriff

Angreifer erweitern häufig ihre Berechtigungen, indem sie den Zugriff auf das Exchange Admin Center (EAC) und das PowerShell-Remoting ausnutzen. Hier hat sich bewährt, diese Tools nur von einer festgelegten Anzahl von Workstations mit privilegiertem Zugriff (PAWs) aus zugänglich zu machen. Dies kann durch Firewall-Regeln auf den Exchange-Servern oder durch die Verwendung einer Firewall realisiert werden. Auch die integrierten Clientzugriffsregeln in Exchange können in diesem Fall nützlich sein. Der Missbrauch von PowerShell lässt sich dadurch jedoch nicht verhindern.

Kerberos und SMB ersetzen NTLM

Microsoft nimmt veraltete Netzwerk- und Authentifizierungsprotokolle schrittweise aus dem Verkehr. SMBv1 und NTLMv1 werden in modernen Windows-Installationen standardmäßig deaktiviert. In zukünftigen Versionen wird auch NTLMv2 ausgeschaltet. Ab Exchange SE CU1 wird NTLMv2 durch Kerberos ersetzt, das mithilfe von MAPI über HTTP als standardmäßiges Authentifizierungsprotokoll implementiert wird.

IT- und Sicherheitsteams sollten ihre Infrastruktur gründlich auf veraltete Protokolle durchleuchten und eine Migration auf zeitgemäße, sicherere Authentifizierungsmethoden planen.

Aktuelle Authentifizierungsmethoden

Ab Exchange 2019 CU13 können Clients eine Kombination aus OAuth 2.0, MFA und ADFS für eine sichere Serverauthentifizierung nutzen – ein Framework, das als Modern Auth (Modern Authentication) bekannt ist. Dann kann ein Nutzer nur auf sein Postfach zugreifen, nachdem die MFA über ADFS erfolgreich abgeschlossen wurde und der Exchange-Server ein gültiges Zugriffstoken vom ADFS-Server erhält. Sobald alle Nutzer zu Modern Auth migriert wurden, muss die Standardauthentifizierung auf dem Exchange-Server deaktiviert werden.

Erweiterten Schutz aktivieren

Der Erweiterte Schutz (Extended Protection, EP) bietet Schutz vor NTLM-Relay- Angriffen, Adversary-in-the-Middle und ähnlichen Methoden. Er steigert die TLS-Sicherheit durch ein Channel Binding Token (CBT). Wenn Anmeldedaten oder ein Token gestohlen wurden und der Angreifer diese in einer anderen TLS-Sitzung verwenden will, kappt der Server die Verbindung. EP kann nur aktiviert werden, wenn alle Exchange-Server dieselbe TLS-Version verwenden.

Der Erweiterte Schutz ist bei neuen Serverinstallationen ab Exchange 2019 CU14 standardmäßig aktiviert.

Sichere TLS-Versionen

Die gesamte Server-Infrastruktur, einschließlich aller Exchange-Server, sollte so konfiguriert werden, dass dieselbe TLS-Version verwendet wird (1.2 oder noch besser 1.3). Microsoft bietet genaue Anleitungen zur optimalen Konfiguration und den erforderlichen Voraussetzungen. Mit einem Skript von Health Checker kannst du überprüfen, ob diese Einstellungen richtig und einheitlich sind.

HSTS

Um sicherzustellen, dass alle Verbindungen durch TLS geschützt sind, solltest du zusätzlich HTTP Strict Transport Security (HSTS) konfigurieren. Dadurch können bestimmte AitM-Angriffe verhindert werden. Nachdem die Einstellungen von Exchange Server gemäß den Empfehlungen von Microsoft angepasst wurden, ist die Verschlüsselung für alle Verbindungen mit Outlook im Web (OWA) zwingend.

Download-Domänen

Die Downloaddomänen-Funktion (Download Domains) schützt vor bestimmten Cross-Site-Request-Forgery-Angriffen und Cookie-Diebstahl. Dazu werden verschiedene Domänen verwendet: Auf einer Unternehmensdomäne läuft Outlook im Web, während heruntergeladene Anhänge in eine andere Domäne verschoben werden. Benutzeroberfläche und Nachrichtenliste werden also in einer Domäne geladen, und für den Download von Dateianhängen dient eine zweite.

Rollenbasiertes Verwaltungsmodell

Exchange Server implementiert ein rollenbasiertes Zugriffskontrollmodell (RBAC) für privilegierte Nutzer und Administratoren. Die CISA weist darauf hin, dass Benutzerkonten mit AD-Administratorrechten häufig auch zur Verwaltung von Exchange verwendet werden. Wird bei dieser Konfiguration ein Exchange-Server kompromittiert, so gilt gleichzeitig auch die komplette Domäne als kompromittiert. Daher ist es wichtig, geteilte Berechtigungen und RBAC zu verwenden, um die Exchange-Verwaltung sauber von anderen Administratorrechten zu trennen. Auf diese Weise wird die Anzahl der Nutzer und Administratoren mit unverhältnismäßigen Berechtigungen reduziert.

PowerShell-Stream-Signierung

Administratoren verwenden häufig PowerShell-Skripte (auch cmdlets genannt), um Einstellungen zu ändern und Exchange-Server über die Exchange Management Shell (EMS) zu verwalten. Der Fernzugriff auf die PowerShell sollte idealerweise deaktiviert werden. Sollte er dennoch aktiviert sein, müssen die an den Server gesendeten Befehlsdatenströme durch Zertifikate geschützt werden. Diese Einstellung ist seit November 2023 für Exchange 2013, 2016 und 2019 standardmäßig aktiviert.

Schutz für E-Mail-Header

Im November 2024 hat Microsoft einen optimierten Schutz vor Angriffen eingeführt, bei denen die P2-FROM-Mail-Header gefälscht werden und die manipulierten E-Mail-Nachrichten so aussehen, als stammten sie von einem vertrauenswürdigen Absender. Neue Erkennungsregeln identifizieren jetzt E-Mails, bei denen diese Header vermutlich manipuliert wurden. Administratoren dürfen diesen Schutz nicht deaktivieren und sollten verdächtige Nachrichten mit dem Header X-MS-Exchange-P2FromRegexMatch zur weiteren Analyse an Sicherheitsexperten weiterleiten.