Ihr kompetenter IT-Partner

Ihr kompetenter IT-Partner

Kritische Schwachstellen in Microsoft Exchange Server – UPDATE

E-Mail Exchange Server Angriff

Microsoft warnt vor vier kritischen Schwachstellen im weltweit meistgenutzten E-Mail-Transport-Server Microsoft Exchange, die bereits aktiv ausgenutzt werden (sog. Zero Day Schwachstellen).

——

Update vom 10.03.2021
Zehntausende Exchange-Server in Deutschland sind über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert (Quelle:BSI). Das BSI stützt sich hierbei auf Zahlen der IT-Sicherheitssuchmaschine Shodan. Die Situation betrifft Unternehmen und Organisationen jeder Größe.
 
Das BSI empfiehlt dringend das Einspielen der von Microsoft bereitgestellten Sicherheitsupdates. Anfällige Exchange-Systeme sollten aufgrund des sehr hohen Angriffsrisikos dringend auf entsprechende Auffälligkeiten geprüft werden.
 
Bitte überprüfen Sie Ihre Systeme umgehend oder nehmen Sie Kontakt auf (info@secure-technology.de) für eine Analyse Ihrer Infrastruktur und ob Sie von den Angriffen betroffen sind. 
 

——

Update vom 08.03.2021

Das BSI veröffentlichte am 06.03.2021 ein weiteres Update der Cybersicherheitswarnung bzgl. der Microsoft Exchange Server Schwachstellen. Darin wurden neue Erkenntnisse in Bezug auf Mitigationsmaßnahmen und Ausnutzung der Schwachstellen ergänzt. Weiterhin hat das BSI am 08.03.2021 eine begrenzte IT-Krise festgestellt und eine besondere Aufbauorganisation eingerichtet. Die Anzahl an Meldungen von potenziell Betroffenen nimmt stetig zu.

Das BSI veröffentlichte am 05.03.2021 ein Update der Cybersicherheitswarnung „Mehrere Schwachstellen in MS Exchange„. Dabei wurde die Kritikalität auf die höchste Stufe Rot angehoben. Die in der Warnung beschriebenen Maßnahmen sollen unverzüglich umgesetzt werden. Hintergrund ist die aktuell beobachtete Ausnutzung der Schwachstelle und die damit verbundene Infektion von tausenden Systemen weltweit. Laut der Schwachstellensuchmaschine Shodan existieren allein in Deutschland 57.000 potenziell verwundbare Systeme.

—–

Die Technik hinter den Angriffen

Eine Kombination der vier entdeckten Schwachstellen ermöglicht es einem entfernten Angreifer, Zugriff auf E-Mails zu erlangen sowie beliebigen Code auf dem Exchange Server auszuführen. Damit ein Angriff möglich ist, muss der Exchange Server über den standardmäßig offenen Port 443 (https) erreichbar sein. Über diesen wird z.B. der Webmailer OWA (Outlook Web Access) bzw. Outlook On The Web angeboten. Für die Schwachstellen hat Microsoft deshalb – außer der Reihe – Sicherheitsupdates bereitgestellt und rät dazu, diese umgehend zu installieren.

Bereits viele aktive Angriffe registriert

Laut Microsoft konnten bereits Angriffe der chinesischen Gruppe Hafnium gegen US-Organisationen festgestellt werden. Ziel der Angriffe war das Abgreifen von E-Mails der betroffenen Organisationen. Das BSI hat am 03.03.2021 neben einer Warnung über den CertBund Twitterkanal auch eine Cybersicherheitswarnung veröffentlicht.

Bewertung vom Fachreferat: „Alle vier Schwachstellen haben laut CVSS eine niedrige Angriffskomplexität. Deswegen gehen wir davon aus, dass die Ausnutzung der Schwachstellen nicht schwierig sein dürfte. Für die initial notwendige Kompromittierung über CVE-2021-26855 bedarf es keiner Benutzerinteraktion, um anschließend mit dem Rechten des Exchange Servers weiter agieren zu können.“

Zugriffe beschränken

Zugriffe sollten lt. BSI, sofern eine externe Erreichbarkeit zwingend erforderlich ist, z. B. über sichere VPN-Verbindungen erfolgen. Das heißt, es sollten keine Verbindungen aus nicht vertrauenswürdigen Netzen zugelassen werden, um die Angriffsfläche entsprechend zu reduzieren.

Zusätzlich ist zu berücksichtigen, dass Exchange-Server standardmäßig sehr hohe (oft administrative) Rechte innerhalb einer Domäne besitzen. Es ist gut möglich, dass weitergehende Angriffe mit den Rechten des übernommenen Exchange-Servers mit geringem Aufwand dazu in der Lage sind, die gesamte Domäne kompromittieren zu können.

Quellen:
https://www.bleepingcomputer.com/news/security/microsoft-fixes-actively-exploited-exchange-zero-day-bugs-patch-now/
https://www.spiegel.de/netzwelt/netzpolitik/microsoft-exchange-server-weltweite-angriffswelle-besorgt-sicherheitsexperten-a-1eae06f4-6948-45ac-971a-91406d7980ad#ref=rss
https://www.handelsblatt.com/technik/it-internet/medienberichte-zehntausende-microsoft-kunden-wohl-von-hackerangriff-betroffen/26981036.html
https://www.heise.de/news/Jetzt-patchen-Angreifer-attackieren-Microsoft-Exchange-Server-5070309.html

Kontaktieren Sie uns für ein kostenloses Beratungsgespräch

Gerne stellen wir Ihnen ein maßgeschneidertes Angebot oder Training nach Ihren individuellen Wünschen zusammen.
Teile diesen Beitrag mit Freunden und Geschäftspartnern
Share on linkedin
Share on twitter
Share on facebook
Share on whatsapp

Büro: +49 6401 400 9478
Mobil: +49 172 6289 000

Copyright © 2020 secure-technology.de

Bereitgestellt von WordPress

Webpräsenz der Allianz für Cyber-Sicherheit

Copyright © 2020 secure-technology.de

Bereitgestellt von WordPress

Webpräsenz der Allianz für Cyber-Sicherheit

Büro: +49 6401 400 9478
Mobil: +49 172 6289 000