Suche

  1. Germany
  2. Insights
  3. Blog
  4. Cyberdefense
  5. Lokale Microsoft Exchange Server werden Ziel eines Angriffs!

Lokale Microsoft Exchange Server werden Ziel eines Angriffs!

Cyberdefense

Share

 

Erfolgreicher Angriff auf mehr als zehntausend lokale Microsoft Exchange Server!

Am 03.03.2021 wurde offiziell eine Microsoft Zero-Day-Schwachstelle bekanntgegeben.

Durch die Sicherheitslücke können Angreifer auf die lokalen Microsoft Exchange Server (Version 2013, 2016 und 2019) zugreifen. Der Exchange Online Service von Microsoft ist hierbei nicht betroffen.

Die Schwachstellen bestehen aus einer serverseitigen Anforderungsfälschung (SSRF), die als CVE-2021-26855 verfolgt wird und es einem Angreifer ermöglicht, beliebige HTTP-Anforderungen zu senden und sich als Exchange-Server zu authentifizieren. Sobald er sich durch Ausnutzung dieser Schwachstelle authentifiziert hat, kann ein Angreifer dann die anderen Schwachstellen ausnutzen, um Code auf dem Server als SYSTEM (CVE-2021-26857) auszuführen oder eine Datei in einen beliebigen Pfad auf dem Server zu schreiben (CVE-2021-26858 & CVE-2021-27065).

Angreifer erhalten über die Sicherheitslücke einen Zugriff auf E-Mails, Kalendereinträge sowie Kontaktdaten. Des Weiteren können Angreifer durch ein gezieltes Einsetzen von Malware weiter in das interne Firmen-Netzwerk vordringen und weitere Systeme sowie Benutzerkonten übernehmen.

Was ist jetzt zu tun?

  1. Installieren Sie schnellstmöglich die Updates für Microsoft Exchange Server
    Exchange Server 2010 (RU 31 for Service Pack 3)
    Exchange Server 2013 (CU 23) 
    Exchange Server 2016 (CU 19, CU 18)
    Exchange Server 2019 (CU 8, CU 7)
  2. Bei allen Systemen ist es grundlegend zu prüfen, ob es zu einer Kompromittierung gekommen ist. Hierzu müssen Exchange-Systeme auf bekannte Webshells untersucht werden. Wie Sie hierzu vorgehen müssen, finden Sie direkt unter dem folgenden Link des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
    https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132.pdf?__blob=publicationFile&v=7
  3. Überwachen Sie Ihre zentralen Systeme sowie Clients mit entsprechenden Lösungen, um Anomalien festzustellen. Sollten Sie Hilfe benötigen, so können wir, Orange Cyberdefense, Sie natürlich direkt mit den passenden technologischen Lösungen unterstützen.

Unternehmen sollten durch diesen Vorfall wachgerüttelt werden. Leider gibt es immer noch eine Vielzahl von Unternehmen, die das Thema IT-Security stiefmütterlich behandeln und durch solch einen Vorfall, großen Schaden erleiden können.

Warten Sie nicht bis zur nächsten Sicherheitslücke, sondern leiten Sie jetzt die notwendigen Maßnahmen ein, um für zukünftige Vorfälle entsprechend gerüstet zu sein. Das wird nicht die letzte Sicherheitslücke gewesen sein.

Sollten Sie sofortige Hilfe benötigen und / oder eine sichere Migration in eine cloudbasierte Lösung auf Basis von Office 365 in Betracht ziehen, sind wir gerne für Sie da: https://orangecyberdefense.com/de/cyber-security-incident-response/

Kontaktieren Sie uns!

Incident Response Hotline

Ein Cybersecurity Incident, bei dem Sie sofortige Hilfe benötigen?

Kontaktieren Sie unsere 24/7/365 Incident Response Hotline.