Alarmstufe Rot

Kritische Schwachstellen in Exchange-Servern

12.03.2021 | Am 03. März wirkte alles noch recht harmlos, als Microsoft mit einem außerplanmäßigen Sicherheitsupdate 4 Schwachstellen im Exchange Server 2010 bis 2019 schloss. Nur ein paar Tage später jedoch rief das Bundesamt für Sicherheit in der Informationstechnik (BSI) in dieser Angelegenheit die höchste Bedrohungslage aus: Cyber-Sicherheitswarnung vom 09.03.2021.

Die Lücken, über die ein Remotezugriff auf beliebige Programmcodes mit Administratorrechten stattfinden kann, werden seitdem aktiv ausgenutzt. Bei einem erfolgreichen Angriff könnten Angreifer Zugriff auf E-Mails, Kontaktdaten und Kalendereinträge erhalten. Doch damit nicht genug: Lokale Exchange-Server verfügen oftmals über hohe Berechtigungen im Active Directory, weshalb die Folgen – auch zu späteren Zeitpunkten – nicht abzusehen sind. Deshalb reicht es nicht aus, die zur Verfügung stehenden Updates einzuspielen. Vielmehr muss untersucht werden, ob die Server bereits betroffen sind.

Zehntausende Exchange-Server in Deutschland sind nach Angaben des BSI über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Die Situation betrifft Unternehmen und Organisationen jeder Größe, u.a. musste die europäische Bankenaufsicht EBA ihr gesamtes Mailsystem abschalten.
Auch deutsche Bundesbehörden sind bereits von den Hackerangriffen betroffen, darunter das Umweltbundesamt, das aktuell nur noch telefonisch erreichbar ist.

Seit ein Sicherheitsforscher einen öffentlich verfügbaren Exploit entdeckt hat, ist es nur noch eine Frage der Zeit, bis die Schwachstellen für Erpressungskampagnen ausgenutzt werden. Mittlerweile wurde der Beispiel-Exploit-Code zwar vom Code-Hoster gelöscht, die Gefahr bleibt jedoch bestehen.

Handeln Sie umgehend!

Wir empfehlen allen Betreibern von betroffenen Exchange-Servern, sofort aktiv zu werden:

  1. Überprüfen Sie den CU-Stand Ihres Systems mithilfe von „HealthChecker.ps1
  2. Patchen Sie Ihr System:
  3. Nach dem Patchen sollten Sie Ihr System mithilfe von „Test-ProxyLogon.ps1“ überprüfen
  4. Sollten Sie in den Logs auf etwas Verdächtiges stoßen, nutzten Sie das Tool „Microsoft Safety Scanner

Wichtig:

  • Aktualisieren Sie den Scanner nach spätestens einer Woche auf die neueste Version.
  • Legen Sie die Safety Scanner Logs nach dem Scan unter %SYSTEMROOT%\debug\msert.log ab

Falls verdächtige Programme nicht entfernt werden konnten oder Sie Unterstützung bei der Umsetzung der Maßnahmen benötigen, stehen Ihnen unsere Experten telefonisch unter +49 (7805) 918-1100 oder per E-Mail an support@leitwerk.de zur Verfügung.

Sie haben Fragen? Kontaktieren Sie uns gerne auch über das Kontaktformular:

    Menü