Angriffe auf Exchange Server

Welche Systeme betroffen sind, welche Auswirkungen eine Infektion hat und wie Sie sich schützen können

Seit einigen Wochen sind Sicherheitslücken in Microsoft Exchange Ziel krimineller Cyber-Gruppen. Bereits zehntausende deutsche Exchange-Server großer wie auch kleiner Unternehmen sind laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) infiziert und angreifbar. Das BSI hat wegen der außerordendlich kritischen IT-Bedrohungslage bereits „Alarmstufe rot“ ausgerufen.

Hinter den Angriffen vermutet Microsoft gleich mehrere Hacker-Gruppen. Diese waren bisher eher durch gezielten Angriffe auf Netzwerke vor allem in Nordamerika aufgefallen. Die Hintergründe der scheinbar massenhaften ziellosen Attacken im Rest der Welt werfen bei den Untersuchungsbehörden derzeit noch Fragen auf.

Welche Systeme sind möglicherweise betroffen?

Umgebungen auf Basis der folgenden Exchange-Versionen sind eventuell Ziel der aktuellen Attacken.

  • Exchange 2010 (nur Schwachstelle CVE-2021-26857)
  • Exchange 2013
  • Exchange 2016
  • Exchange 2019

Laut Informationen des BSI sind solche Exchange-Umgebungen gefährdet, die aus dem Internet erreichbar sind – also bspw. über Online Web Access (OWA), ECP, Active Sync etc.

Wie gehen die Cyber-Kriminellen vor?

Durch Sicherheitslücken erstellen die Kriminellen sogenannte Webshells und können hierdurch auf den Systemen Befehle ausführen, diese gar übernehmen. Über Skripte, die in scheinbar harmlosen Dateien (beispielsweise PDFs) eingebunden sind, werden Kommunikationskanäle nach außen geöffnet, über die anschließend Betriebsgeheimnisse und (personenbezogene) Daten abgezogen werden können.

Wie kann man sich schützen?

Um die eigenen Umgebung zu schützen, muss unbedingt ein Patch eingespielt werden, den Microsoft zum Download bereitgestellt hat.

Sollten Sie Hilfe benötigen unterstützen wir Sie gerne beim Patchen. Schreiben Sie uns über support@premier-experts.de oder rufen Sie uns unter unserer Hotline-Nummer +49 (911)  95 15 19 50 an.

Wie kann man feststellen, ob das eigene Unternehmen bereits betroffen ist?

Datensicherung und Prüfskript

Um eine mögliche Kompromittierung zu prüfen, hat Microsoft über GitHub ein Prüfskript bereitgestellt. Bitte gehen Sie wie folgt vor:

  1. Deaktivieren Sie nach Möglichkeit die folgenden Dienste, um eine Infektion zu verhindern beziehungsweise zu erschweren:
    • Unified Messaging
    • Exchange Control Panel V Dir
    • Offline Address Book VDir
    • ActiveSync
    • Outlook Web Access (OWA)
  2. Sichern Sie Ihre Daten zur späteren Wiederherstellung oder weiteren Analyse. Erstellen Sie auch eine Offline-Sicherung von Systemsicherungen vom 02.03.2021 und ggf. früher.
  3. Führen Sie das Prüfskript von GitHub – microsoft/CSS-Exchange: Exchange Server support tools and scripts gemäß der dort hinterlegten Beschreibung aus.

Ergebnisanalyse

Die durch das oben aufgeführte Skript gelieferte Ergebnisliste kann Aufschluss über eine mögliche Infektion Ihrer Umgebung liefern. Suchen Sie bitte nach folgenden Einträgen:

  • 444/mapi/emsmdb/?#“,“200″
  • 444/ecp/proxyLogon.ecp?#“,“241″

Stoßen Sie in der Ergebnisliste auf diese beiden Einträge, muss von einer Kompromittierung Ihrer Umgebung ausgegangen werden.

Was tun bei einer Kompromittierung?

Ist Ihre Systemlandschaft betroffen oder vermuten Sie eine Kompromittierung, unterstützen wir Sie in dieser schwierigen Lage mit Rat und Tat. Wir machen Sie schnell wieder arbeitsfähig und sichern Ihre Systemlandschaft zukunftsfähig ab. Gerne beraten wir Sie auch ganz allgemein zu vorbeugenden Maßnahmen.

Wählen Sie einfach unsere Hotline +49 (911)  95 15 19 50 oder schreiben Sie uns eine Mail an support@premier-experts.de.

Weitere Informationen: