Alarmstufe Rot
Kritische Schwachstellen in Exchange Servern
12.03.2021 | Am 03. März wirkte alles noch recht harmlos, als Microsoft mit einem außerplanmäßigen Sicherheitsupdate 4 Schwachstellen im Exchange Server 2010 bis 2019 schloss. Nur ein paar Tage später jedoch rief das Bundesamt für Sicherheit in der Informationstechnik (BSI) in dieser Angelegenheit die höchste Bedrohungslage aus: Cyber-Sicherheitswarnung vom 09.03.2021.
Die Lücken, über die ein Remotezugriff auf beliebige Programmcodes mit Administratorrechten stattfinden kann, werden seitdem aktiv ausgenutzt. Bei einem erfolgreichen Angriff könnten Angreifer Zugriff auf E-Mails, Kontaktdaten und Kalendereinträge erhalten. Doch damit nicht genug: Lokale Exchange-Server verfügen oftmals über hohe Berechtigungen im Active Directory, weshalb die Folgen – auch zu späteren Zeitpunkten – nicht abzusehen sind. Deshalb reicht es nicht aus, die zur Verfügung stehenden Updates einzuspielen. Vielmehr muss untersucht werden, ob die Server bereits betroffen sind.
Zehntausende Exchange-Server in Deutschland sind nach Angaben des BSI über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Die Situation betrifft Unternehmen und Organisationen jeder Größe, u.a. musste die europäische Bankenaufsicht EBA ihr gesamtes Mailsystem abschalten.
Auch deutsche Bundesbehörden sind bereits von den Hackerangriffen betroffen, darunter das Umweltbundesamt, das aktuell nur noch telefonisch erreichbar ist.
Seit ein Sicherheitsforscher einen öffentlich verfügbaren Exploit entdeckt hat, ist es nur noch eine Frage der Zeit, bis die Schwachstellen für Erpressungskampagnen ausgenutzt werden. Mittlerweile wurde der Beispiel-Exploit-Code zwar vom Code-Hoster gelöscht, die Gefahr bleibt jedoch bestehen.
Handeln Sie umgehend!
Wir empfehlen allen Betreibern von betroffenen Exchange-Servern, sofort aktiv zu werden:
- Überprüfen Sie den CU-Stand Ihres Systems mithilfe von „HealthChecker.ps1“
- Patchen Sie Ihr System: Exchange-Server-Sicherheitsupdates & Exchange Server Sicherheitsupdates für ältere kumulative Updates von Exchange Server
- Nach dem Patchen sollten Sie Ihr System mithilfe von „Test-ProxyLogon.ps1“ überprüfen
- Sollten Sie in den Logs auf etwas Verdächtiges stoßen, nutzten Sie das Tool „Microsoft Safety Scanner“
Wichtig:
- Aktualisieren Sie den Scanner nach spätestens einer Woche auf die neueste Version.
- Legen Sie die Safety Scanner Logs nach dem Scan unter %SYSTEMROOT%\debug\msert.log ab.
Sie haben Fragen? Kontaktieren Sie uns gerne auch über das Kontaktformular.