Neuigkeiten

Sicherheitslücke bei Exchange-Server – Ein Überblick

Schwere Sicherheitslücke bedroht IT-Systeme weltweit

Anfang März hat es eine sehr kritische Sicherheitslücke in dem Produkt Exchange Server von MICROSOFT in verschiedenste Medien, so auch die „Tagesschau“ geschafft. Aufgrund dieser „Hafnium“ genannten Lücke hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) sogar „Alarmstufe Rot“ auslöst. Weltweit sind hunderttausende Server betroffen.

Obwohl die Lücke schon seit rund zwei Monaten im Hause MICROSOFT bekannt war, wurde erst Anfang März öffentlich darauf hingewiesen und daraufhin die ersten Sicherheitsupdates für MICROSOFT Exchange Server 2010 - 2019 veröffentlicht, um die Schwachstellen zu schließen.

Die Sicherheitslücke setzt auf der Internet-Verfügbarkeit der Exchange-Server auf. Ist dies gegeben, können mehrere Sicherheitslücken ausgenutzt werden, um die reguläre Authentifizierung zu umgehen, sich als Administrator eines Exchange-Servers anzumelden und administrative Berechtigungen auf dem Server zu erlangen. Somit kann ein Angreifer alle Informationen aus dem E-Mail-Server (E-Mails, Kontakte, Termine etc.) auslesen, die Kontrolle auf dem Server übernehmen und anschließend auch mit unterschiedlichen Schadprogrammen infizieren.

Bereits Ende Januar waren erste zielgerichtete Angriffe auf Exchange-Server zu verzeichnen, Ende Februar wurden dann die ersten Massenscans zu verzeichnen, die eine massenhafte Infektion aller per Internet erreichbaren und ungepatchten Exchange-Server zur Folge hatten.

Was ist zu tun?

  1. Sofern immer noch nicht geschehen, sind die Exchange-Server 2010 - 2019 sofort zu patchen. Ist dies nicht unmittelbar möglich, sind weitere Maßnahmen zu treffen. Noch ältere Exchange-Server Versionen, sofern diese überhaupt noch im Einsatz sind, sollten, da der Support längst abgekündigt ist, dringendst auf eine aktuelle Version aktualisiert werden.
  2. Zweitdringendste Aufgabe der Administratoren ist es dann, schnellstmöglich die Systeme auf Zeichen einer Kompromittierung zu untersuchen und infizierte System zu bereinigen. Hierzu sind nach der Vornahme von entsprechenden Sicherungen der Daten und Systeme die MICROSOFT Prüf-Tools auszuführen und die Ergebnisdateien zu untersuchen. Sofern von einer Kompromittierung des Systems ausgegangen werden muss, sind weitere Maßnahmen, insbesondere die Suche nach sogenannten Webshells notwendig. Hierzu sind einschlägige Tools verfügbar und das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat Hilfsmittel bereitgestellt und Empfehlungen wie dem Löschen der Serbver und einer sauberen Neuinstallation ausgesprochen.

Sie haben Fragen oder Beratungsbedarf? Unsere Experten unterstützen Sie gerne dabei mögliche Folgen dieses Hackerangriffs zu untersuchen und sie gegebenenfalls zu beheben. Jetzt Kontakt aufnehmen!

Hinsichtlich der Auswirkungen auf den Datenschutz hat unser Datenschutz-Team eine Stellungnahme erstellt. Mehr erfahren!