Vorsichtsmaßnahmen wegen Hackerangriff auf Microsoft Exchange

Vorsichtsmaßnahmen wegen Hackerangriff auf Microsoft Exchange

Am 03.03.2021 veröffentlichte Microsoft eine Sicherheitswarnung, dass Exchange Mailserversysteme on-premise (alle Versionen) über vier Zero-Day Exploits (Softwareschwachstellen mit erheblichen Schadpotential, CVE-2021-26855, CVE-2021-26858, CVE-2021-26857 und CVE-2021-27065) angreifbar sind. Exchange Online ist nicht betroffen.

Es wird derzeit davon ausgegangen, dass eine hohe Anzahl an eingesetzten Mailserversystemen bereits erfolgreich angegriffen wurde.

Ein erfolgreicher Angriff führt zur Übernahme des Systems, dem gezielten Abgriff von Daten (Mailpostfachinformationen und Adressbücher) sowie der Installation einer Backdoor zur Fernsteuerung des Systems und dem Nachladen von Schadsoftware.

Durch das gezielte Abgreifen von Daten tritt ein meldepflichtiger Vorfall nach DSGVO ein.

Es besteht zudem die Möglichkeit, dass nachgeladene Schadsoftware für einen Verschlüsselungsangriff genutzt werden kann.

Microsoft stellt Notsicherheitspatches bereit, um die Lücken zu schließen und fordert alle IT-Abteilungen auf, unverzüglich zu handeln. Folgende Updates sind verfügbar:
• Exchange Server 2010 (update requires SP 3 or any SP 3 RU – this is a Defense in Depth update)
• Exchange Server 2013 (update requires CU 23)
• Exchange Server 2016 (update requires CU 19 or CU 18)
• Exchange Server 2019 (update requires CU 8 or CU 7)
Sollten bei Ihnen die Voraussetzungen vorliegen, dass Sie ein Exchange Mailserversystem on-premise (alle Versionen) im Einsatz haben, prüfen Sie Ihr System auf einen bereits erfolgten Angriff und installieren Sie bitte schnellstmöglich die o.a. Sicherheitspatches.

Bis dahin empfehlen wir Ihnen dringend folgende Vorsichtsmaßnahme:
• Trennen Sie ein- und ausgehende Verbindungen vom Exchange Server zum Internet, deaktivieren Sie die Netzwerkkarte bei VMs über das jeweilige Management Center oder die Netzwerkkarten bei physischen Systemen.

Vollziehen Sie folgende Schritte, um Ihre Systeme zu prüfen und zu aktualisieren:
• Prüfen Sie die aktuellen Statusmeldungen zum Incident-Response bei Microsoft (siehe Links).
• Laden Sie die aktuell bereitgestellten Test-Scripte der Anbieter zur Überprüfung bereits erfolgter Angriffe herunter und führen Sie diese aus.
• Schaffen Sie die Voraussetzungen zur Implementierung der Notpatches und aktualisieren Sie ggf. Ihre Systeme.
• Spielen Sie die Notpatches ein.

Sollte die Prüfung eine Auffälligkeit bzw. eine Kompromittierung aufzeigen, so besteht weiterer Handlungsbedarf. Nehmen Sie ggf. Kontakt mit unserem Support auf, um die weitere Vorgehensweise zu klären.
Melden Sie sich bei unserem IT-Support per Mail an it-support@ehrig.de oder Telefon unter (030) 34 789-400, sofern wir Sie unterstützen sollen.

Weiterführende Links:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

Microsoft Exchange Server Vulnerabilities Mitigations – updated March 6, 2021

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132.pdf