Als Microsoft Anfang März 2021 mit einem außerplanmäßigen Sicherheitsupdate vier Schwachstellen in diversen Exchange Server Versionen geschlossen hatte, stellte der Hersteller die Bedrohung noch als relativ gering dar. Inzwischen lief eine beispiellose Angriffswelle gegen hunderttausende Exchange-Instanzen weltweit. Das BSI rief sogar die „IT-Bedrohungslage rot“ aus. Interessanterweise war der Exchange Online Service im Rahmen des Microsoft 365 Portfolios von den Lücken nicht betroffen. Ein weiterer Beleg dafür, dass die Cloud in Sachen Information Security entscheidende Vorteile gegenüber On-Premise-Lösungen bietet? Darauf gehen wir in diesem Blog-Artikel etwas genauer ein.
Das Beispiel Hafnium Exchange-Server-Hack
Begonnen hat der inzwischen als „Hafnium Exchange-Server-Hack“ bekannte Angriff im Dezember 2020. Sicherheitsforscher eines taiwanischen IT-Security Unternehmens stießen auf eine als ProxyLogon bezeichnete Schwachstelle, welche es Angreifern ermöglicht, die reguläre Authentifizierung zu umgehen und sich als Administrator eines Exchange-Servers anzumelden. Im Laufe von zusätzlichen Untersuchungen wurden weitere Schwachstellen, wie etwa das Platzieren von Dateien für eine Remote-Code-Ausführung in Exchange gefunden. Nachdem die identifizierten Schwachstellen mit funktionsfähigen Proof of Concept Exploits bestätigt werden konnten, informierte die Firma am 5. Januar 2021 das Microsoft Security Ressource Center (MSRC), welches die Lücken unmittelbar bestätigen konnte. Microsoft versprach, mindestens ein Update freizugeben, bevor die übliche Frist zur Veröffentlichung von Sicherheitslücken dieser Art abläuft. Doch es dauerte noch knapp zwei Monate, bis Microsoft endlich die nötigen Updates für die On-Premise Exchange Server Versionen 2010 bis 2019 zur Verfügung stellte. Microsoft betonte gleichzeitig, dass der Exchange Online Dienst von den Lücken nicht betroffen ist. Es liegt also nahe, dass in den zwei Monaten die Cloud Version von Exchange priorisiert behandelt wurde, auch wenn es dazu seitens Microsofts keine Bestätigung gibt.
Das Problem für Administratoren der On-Premise Exchange Instanzen bestand darin, dass erste Scans bzw. auch Angriffe auf die erkannten Sicherheitslücken schon im Laufe des Januars stattfanden. Die Massenscans der Angreifer bei gleichzeitiger Kompromittierung fanden dann Ende Februar statt, also bevor überhaupt die Updates zur Verfügung standen. Selbst bei Erkennung von ungewöhnlichen Aktivitäten auf den Exchange Servern hätten Administratoren keine andere Möglichkeit gehabt, als diese notfalls vom Netz zu nehmen, da es bis auf das Live-Monitoring keinen effektiven Schutz vor den Attacken gab. Und selbst als dann die Updates bereitstanden, ergab sich durch die Update-Politik von Microsoft das Problem, dass sich jeweils nur die neuesten sogenannten kumulativen Updates der jeweiligen Exchange Versionen patchen ließen. Das Einspielen dieser Updates ist nicht unbedingt trivial und erfordert ebenfalls einen gewissen Zeitaufwand. Erst nach einer weiteren Woche wurden von Microsoft Patches für alle Service Packs, sogenannte Cumulative Updates (CUs), von Exchange bereitgestellt. Währenddessen wurde das Ausmaß des Angriffs immer größer, mit einer schlussendlich sechsstelligen Zahl betroffener Systeme weltweit und viel Arbeit für die Administratoren, die Systeme zu bereinigen. Die Langzeitfolgen lassen sich noch gar nicht abschätzen, da viele Firmen eventuell nicht bemerkt haben, dass ihre Server betroffen sind. Es dauert manchmal Monate, bis ein infizierter Server dann auch übernommen und zum Beispiel mit einer Ransomware verschlüsselt wird, um dann ein Lösegeld für die Daten zu erhalten.
Information Security: Cloud versus On-Premise
Objektiv betrachtet könnte man nun meinen, hier ergeben sich unschlagbare Vorteile der Cloud Services gegenüber vergleichbarer On-Premise Lösungen:
- Priorisierung bei der Updatebereitstellung
- automatisches Einspielen der Updates
- geringer eigener Administrationsaufwand
- …
Doch so einfach ist es bei genauerem Hinsehen nicht. Für die Sicherheit der Kunden-spezifischen Cloudumgebung ist nicht einfach nur der jeweilige Cloud-Service-Provider zuständig. Er stellt zwar Sicherheitsfunktionen in seinem Cloudservice und teils auch optional und ergänzend nutzbare Sicherheitsmodule zur Verfügung, der Kunde jedoch muss die Sicherheitsfunktionen für seine Bedarfe aktivieren und einrichten. Er muss sicherstellen, dass seine Systeme in der Cloud gemäß seinem Sicherheitsbedarf abgesichert sind.
Security schaffen bei Cloud-Services
Vor einer Cloudmigration ist daher eine Risikoanalyse notwendig, um mögliche Angriffspunkte bei einer zukünftigen Cloudnutzung zu erkennen und zu verhindern. Ein zu untersuchendes Risiko hierbei ist grundsätzlich: Ökosysteme wie Microsoft 365 bzw. Azure, Amazon Web Services (AWS) oder die Google Cloud bieten durch ihre schiere Größe ein viel lohnenderes Ziel für Angreifer, da sich bei auftretenden Sicherheitslücken viele Kunden auf einmal hacken lassen. Aus der Bewertung der Risiken sind dann die einzurichtenden Sicherheitseinstellungen für den Cloudservice abzuleiten. Als Richtlinie bieten sich hier verschiedene Frameworks, wie etwa das NIST Cybersecurity Framework an.
Fehlende Sicherheitseinstellungen können gerade im Rahmen von Infrastructure as a Service (IaaS), wie virtuelle Server, gravierende Auswirkungen haben. In der Vergangenheit ist es oft vorgekommen, dass man Server in der Azure oder AWS Cloud gefunden hat, auf denen Daten für jeden zugänglich waren, weil vom jeweiligen Kunden einfachste Absicherungen nicht vorgenommen wurden. Für diese Sicherheitseinstellungen ist natürlich die spezielle Expertise auf Cloud-Administrator-Level nötig.
Auch die automatische Überwachung von Cloudumgebungen, egal ob PaaS, IaaS oder SaaS, ist nicht selbstverständlich. Microsoft zum Beispiel hat den „Microsoft Defender for Endpoint“ (ehemals „Advanced Threat Protection“) nicht standardmäßig in seine Produkte integriert. Dieser Schutz muss vom Kunden zusätzlich über eine Monats- oder Jahreslizenz beschafft und dann von den Cloud-Administratoren auf den entsprechenden Systemen installiert, aktiviert und schließlich in Zusammenarbeit mit dem Cloud-Anbieter überwacht werden. Nur so hätte zum Beispiel den massenhaften Attacken auf die Exchange Server im Februar rechtzeitig entgegengewirkt werden können.
Fazit
Ist die Information Security nun in der Cloud höher als On-Premise? Anhand des MS Exchange Hacks wird sichtbar, das beim Thema Information-Security der Wechsel in die Cloud auf den ersten Blick nahezu nur Vorteile gegenüber dem On-Premise Betrieb mitbringt. Doch beim genaueren Hinsehen wird deutlich, das auch beim Cloud Betrieb das Absichern der IT einigen Aufwand mit sich bringt sowie die entsprechende Aministrations-Expertise vorhanden sein muss, da die Cloud-Service-Provider oft nur Mittel und Anleitungen zur Verfügung stellen. Hier ist zu überlegen, ob man diese Expertise intern aufbaut, oder aber auch outsourct. Dabei ist natürlich zu beachten, dass es nicht nur einen Cloud-Service-Provider gibt, was den Aufbau und das Aktuell-Halten von Wissen zu einer aufwändigen Sache werden lässt.
