:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/1f/1c1f759ae2c7bb664ef18dc1f97a71b6/0115595517.jpeg "Mit drei MDR-Lösungen will Secuinfra den Service auch für KMU erschwinglich machen. (Bild: Philip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/08/4108bcbb5b54b2aea3729797f41c64b0/0115212126.jpeg "Nachhaltige Cyber-Resilienz steht und fällt mit einer unternehmensweiten Cybersicherheitskultur der gemeinsamen Verantwortung, die den Menschen ins Zentrum stellt. (Bild: peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Microsoft liefert Updates und Skripte, BSI verschickt Briefe Exchange-Bedrohungslage bleibt angespannt
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Die Bedrohungslage um die seit Monatsbeginn bekannten Schwachstellen in Microsoft Exchange hält offenbar weiter an. Mittlerweile informierte das BSI Unternehmen auf dem Postweg, berichtete zeitweise von betroffenen Bundesbehörden und aktualisiert die Sicherheitswarnung zur „IT-Bedrohungslage 4/Rot“ regelmäßig.
Auch eine Woche nach Bekanntwerden der Sicherheitslücken von Exchange-Servern meldet das Bundesamt für Sicherheit in der Informationstechnik (BSI) weiterhin „IT-Bedrohungslage 4/Rot“ und gibt im aktuell regelmäßig aktualisierten PDF-Dokument einen Überblick über „Mehrere Schwachstellen in MS Exchange“. Das auf deutsch verfasste Papier liefert hiesigen Admins Details zu den vier Schwachstellen „die in Kombination bereits für zielgerichtete Angriffe verwendet werden und Tätern die Möglichkeit bieten, Daten abzugreifen oder weitere Schadsoftware zu installieren.“
BSI informiert per Schneckenpost...
Bereits am 5. März berichtete das BSI mit Verweis auf den IT-Dienstleister Shodan, dass allein in Deutschland zehntausende Exchange-Server angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert sind. Erschwerend hinzu käme, „dass tausende Systeme noch Schwachstellen aufweisen, die seit über einem Jahr bekannt sind und noch nicht gepatched wurden.“
Hierbei hat das BSI insbesondere KMU im Blick, bei denen Angreifer dann nicht nur die E-Mail-Kommunikation kompromittieren. Über weiter verwundbare Server-Systeme könnten Angreifer oftmals auch gleich Zugriff auf das komplette Unternehmensnetzwerk erlangen.
Im Rahmen des Engagements zur Erhöhung der IT-Sicherheit bei KMU habe das BSI daher postalisch die Geschäftsführung von über 9.000 Unternehmen kontaktiert, die nach bisherigem Kenntnisstand von den Exchange-Schwachstellen betroffen sind.
Damit berücksichtigt das BSI übrigens auch eine Empfehlung Microsofts. Der Softwarehersteller hatte bereits in seinen Security-Hinweisen zur kompromittierten Kommunikationslösung auf mögliche Mitleser verwiesen – und dem entsprechend geraten, bis zur finalen Klärung isolierte Kommunikationskanäle zu nutzen.
...und streicht Hinweis auf betroffene Bundesbehörden wieder
In der vorherigen Cybersicherheitswarnung Nr. 2021-197772-1500 (Version 1.5 vom 8.3.2021) verwies das BSI überdies auf vorliegende Hinweise zu sechs betroffenen Bundesbehörden. In vier Fällen sei es zu einer möglichen Kompromittierung gekommen – so konnten wir es bei Erstellung dieses Artikels noch in einer Kopie des Dokuments im Google-Cache nachlesen.
In Update 6 wurde diese Information kommentarlos gelöscht; unsere Nachfrage dazu beim BSI blieb bislang unbeantwortet.
Microsoft liefert Updates, Skripte und Handlungsempfehlungen
Microsoft selbst hatte die Schwachstellen schon am 2. März publik gemacht und umfassende Hilfestellungen zur Behebung angeboten. Das Microsoft Security Response Center berichtet dabei auch von laufenden Angriffen. Ursprünglich habe man gezielte Zero-Day-Attacken der Gruppe HAFNIUM beobachtet – als deren Hintermänner man vom chinesischen Staat unterstützte Hacker vermutet. Mittlerweile würden auch weitere Akteure die Schwachstellen ausnutzen, um beispielsweise Web Shells zu installieren und tief in die IT-Infrastrukturen von Organisationen einzudringen.
Dem entsprechend sollten Unternehmen die Schwachstellen zum einen schleunigst beheben oder abmildern. Ein erster (keinesfalls dauerhaft ausreichender) Schritt könne beispielsweise sein, nicht vertrauenswürdige Verbindungen einzuschränken oder VPNs einzurichten. Zugleich müssten Updates jedoch eingespielt und Netze auch auf persistente Spuren weiterer Manipulationen untersucht werden; die würden womöglich erst später aktiviert und ausgenutzt.
Details zu Updates, Herangehensweisen und hilfreiche Skripte hat Microsoft in einem umfassenden und stetig aktualisierten Blogbeitrag zusammengestellt. Dort beschreibt der Anbieter eine Angriffskette aus verschiedenen Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Hierüber könnten Angreifer Code einschleusen und ausführen (Remotecodeausführung).
Exchange Server – diese Versionen sind betroffen
Akut angreifbar sind Exchange Server Versionen 2013, 2016 und 2019. Exchange 2010 ist ausschließlich von CVE-2021-26857 betroffen. Damit ließe sich der erste Schritt der Angriffskette nicht bewerkstelligen; dennoch sollten Anwender auch hier die entsprechenden Updates einspielen und sicherstellen, dass keine weitere Schadsoftware auf eigene Server gelangt ist. Hierbei könne eine Auswertung von Log-Files helfen. Das Microsoft Defender Team deckt bekannte Malware zudem mit der aktuellen Version des Microsoft Safety Scanner ab, den Administratoren auf jedem Exchange-Server laufen lassen sollten. Für Sicherheitsexperten stellt Microsoft zudem kostenlos ein Feed von Indicators of Compromise (IOCs) im CSV- oder JSON-Format bereit.
Die älteren Exchange-Versionen 2003 und 2007 sind nach derzeitigem Kenntnisstand nicht für das aktuelle Angriffsszenario anfällig, werden von Microsoft allerdings auch nicht mehr gepflegt. Microsoft empfiehlt hier eindringlich ein Update.
Lehren für die Zukunft
Welche Lehren Administratoren für die Zukunft ziehen könnten, deuten bereits Microsofts Hilfestellungen an. Nicht ganz grundlos wird der Hersteller seinen Kunden ein nmap Skript bereitstellen, das genau dort nach verwundbaren Exchange-Servern sucht, wo Admins bislang eine Inventarisierung vernachlässigt haben.
Thomas Jupe, Portfoliomanager PreSales und Portfolio bei Orange Cyberdefense, kommentiert: „Unternehmen sollten durch diesen Vorfall wachgerüttelt werden. Leider gibt es immer noch eine Vielzahl von Unternehmen, die das Thema IT-Security stiefmütterlich behandeln und durch solch einen Vorfall großen Schaden erleiden können. Sie sollten nicht bis zur nächsten Sicherheitslücke warten, sondern jetzt die notwendigen Maßnahmen einleiten, um für zukünftige Vorfälle entsprechend gerüstet zu sein.“
Fünf konkrete Tipps vom eco
Markus Schaffrin, Sicherheitsexperte im eco Verband und Geschäftsbereichsleiter Mitgliederservices, gibt Unternehmen hierfür auch gleic fünf konkrete Tipps mit auf den Weg:
- Inventarisierung: Machen Sie eine Bestandsaufnahme der eingesetzten Software und Systeme: Was wird wo genutzt? Welche Systeme laufen aktuell und welche wurden außer Betrieb genommen?
- Legen Sie Zuständigkeiten fest: Wer ist wofür verantwortlich?
- Bewerten Sie Risiken und klassifizieren Sie diese entsprechend: Welche Services sind für mein Unternehmen am wichtigsten, welche Auswirkungen haben Schwachstellen für mein Geschäft?
- Sammeln Sie proaktiv Informationen zu möglichen Schwachstellen, etwa vom BSI (Bundesamt für Sicherheit in der Informationstechnik) und CERT Bund.
- Legen Sie Prozesse für regelmäßige und für Notfallpatches fest und üben Sie diese mit Ihren Mitarbeitern ein.
:quality(80)/images.vogel.de/vogelonline/bdb/1806600/1806685/original.jpg "Bei den Updates des März-Patchday 2021 stehen zwar die Patches für die Exchange-Sicherheitslücke besonders im Fokus, Admins müssen sich aber auch um andere Schwachstellen dringend kümmern! (Microsoft)")
Microsoft Patchday März 2021
89 Lücken und sehr dringende Notfallupdates für Exchange
(ID:47270264)
:quality(80)/p7i.vogel.de/wcms/df/1a/df1a733b9fd633ecb4201c5fc8abfba5/0109166253.jpeg "Zum ersten Patchday 2023 bringt Microsoft Patches für gefährliche Lücken in Windows 10/11 sowie Windows Server 2019/2022 und patcht wieder mal Probleme mit Exchange. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/88/04/88043c0365683e01295d5601b701fd21/0112081625.jpeg "Mit den aktuellen Patchday-Updates schließt Microsoft erneut teilweise hochkritische Sicherheitslücken in Exchange, SharePoint & Co. (Logo:Microsoft)")