März-Update sorgt für Probleme bei Windows Server

Gut: Der März-Patchday von Microsoft schließt 59 Sicherheitslücken, einige davon kritisch. Noch besser: Laut Microsoft wurden die Lücken abgedichtet, bevor sie aktiv angegriffen werden konnten.

Weniger gut: Das Update (KB5035857) sorgt für Speicherlecks auf Domain-Controllern und lässt sie im Extremfall neustarten. Der Fehler tritt auf On-Prem- sowie auf Cloud-basierten Active-Directory-Domain-Controllern beim Versenden von Kerberos-Authentifizierungsanfragen auf.

Folgende Windows-Server-Versionen sind betroffen:

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Das Problem sei bekannt, schreiben die Entwickler. Man arbeite an einer Lösung, die in den kommenden Tagen veröffentlicht werden soll. Mehr Infos: https://bit.ly/3Vr8Aew

März-Update problematisch für Windows Server

Ändere-dein-Passwort-Tag

„123456“, „abc123“, „qwertz“ oder schlicht „passwort“ – wenn Eure Passwörter so (oder so ähnlich) klingen, dann ist der heutige 1. Februar der richtige Tag für Euch. Denn der sogenannte Ändere-dein-Passwort-Tag soll uns jährlich an die Sicherheit unserer Konten und anderer Zugänge erinnern.

Was viele nicht wissen: Ein bloßes Ändern der Passwörter wird schon länger nicht mehr empfohlen, denn ein zu häufiger Passwortwechsel verleitet laut Experten zur Wahl einfach zu merkender Zeichenketten wie „xyz“ oder „keineahnung“.

Stattdessen empfiehlt es sich, bereits beim Erstellen von Passwörtern komplexe Strategien zu verwenden. Ein sehr lesenswerter Beitrag dazu findet sich beispielsweise beim Bundesamt für Sicherheit in der Informationstechnik: https://www.bsi.bund.de/dok/6701116.

Noch besser: Man schützt seine Zugänge mit der Multi-Faktor-Authentifizierung. Das MFA bzw. 2FA genannte Verfahren erfordert zusätzlich zum richtigen Kennwort mindestens eine weitere Komponente, etwa eine in Echtzeit generierte TAN, um den Zugang zum Account freizugeben. Das schützt zuverlässig – und macht die Erinnerung an den Ändere-dein-Passwort-Tag ziemlich überflüssig. 😉

Ändere dein Passwort Tag 2024

Angriffe auf Exchange Server

Angriffe auf Exchange Server

Welche Systeme betroffen sind, welche Auswirkungen eine Infektion hat und wie Sie sich schützen können

Seit einigen Wochen sind Sicherheitslücken in Microsoft Exchange Ziel krimineller Cyber-Gruppen. Bereits zehntausende deutsche Exchange-Server großer wie auch kleiner Unternehmen sind laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) infiziert und angreifbar. Das BSI hat wegen der außerordendlich kritischen IT-Bedrohungslage bereits „Alarmstufe rot“ ausgerufen.

Hinter den Angriffen vermutet Microsoft gleich mehrere Hacker-Gruppen. Diese waren bisher eher durch gezielten Angriffe auf Netzwerke vor allem in Nordamerika aufgefallen. Die Hintergründe der scheinbar massenhaften ziellosen Attacken im Rest der Welt werfen bei den Untersuchungsbehörden derzeit noch Fragen auf.


Welche Systeme sind möglicherweise betroffen?

Umgebungen auf Basis der folgenden Exchange-Versionen sind eventuell Ziel der aktuellen Attacken.

  • Exchange 2010 (nur Schwachstelle CVE-2021-26857)
  • Exchange 2013
  • Exchange 2016
  • Exchange 2019

Laut Informationen des BSI sind solche Exchange-Umgebungen gefährdet, die aus dem Internet erreichbar sind – also bspw. über Online Web Access (OWA), ECP, Active Sync etc.


Wie gehen die Cyber-Kriminellen vor?

Durch Sicherheitslücken erstellen die Kriminellen sogenannte Webshells und können hierdurch auf den Systemen Befehle ausführen, diese gar übernehmen. Über Skripte, die in scheinbar harmlosen Dateien (beispielsweise PDFs) eingebunden sind, werden Kommunikationskanäle nach außen geöffnet, über die anschließend Betriebsgeheimnisse und (personenbezogene) Daten abgezogen werden können.


Wie kann man sich schützen?

Um die eigenen Umgebung zu schützen, muss unbedingt ein Patch eingespielt werden, den Microsoft zum Download bereitgestellt hat.

Sollten Sie Hilfe benötigen unterstützen wir Sie gerne beim Patchen. Schreiben Sie uns über support@premier-experts.de oder rufen Sie uns unter unserer Hotline-Nummer +49 (911)  95 15 19 50 an.


Wie kann man feststellen, ob das eigene Unternehmen bereits betroffen ist?

Datensicherung und Prüfskript

Um eine mögliche Kompromittierung zu prüfen, hat Microsoft über GitHub ein Prüfskript bereitgestellt. Bitte gehen Sie wie folgt vor:

  1. Deaktivieren Sie nach Möglichkeit die folgenden Dienste, um eine Infektion zu verhindern beziehungsweise zu erschweren:
    • Unified Messaging
    • Exchange Control Panel V Dir
    • Offline Address Book VDir
    • ActiveSync
    • Outlook Web Access (OWA)
  2. Sichern Sie Ihre Daten zur späteren Wiederherstellung oder weiteren Analyse. Erstellen Sie auch eine Offline-Sicherung von Systemsicherungen vom 02.03.2021 und ggf. früher.
  3. Führen Sie das Prüfskript von GitHub – microsoft/CSS-Exchange: Exchange Server support tools and scripts gemäß der dort hinterlegten Beschreibung aus.

Ergebnisanalyse

Die durch das oben aufgeführte Skript gelieferte Ergebnisliste kann Aufschluss über eine mögliche Infektion Ihrer Umgebung liefern. Suchen Sie bitte nach folgenden Einträgen:

  • 444/mapi/emsmdb/?#“,“200″
  • 444/ecp/proxyLogon.ecp?#“,“241″

Stoßen Sie in der Ergebnisliste auf diese beiden Einträge, muss von einer Kompromittierung Ihrer Umgebung ausgegangen werden.


Was tun bei einer Kompromittierung?

Ist Ihre Systemlandschaft betroffen oder vermuten Sie eine Kompromittierung, unterstützen wir Sie in dieser schwierigen Lage mit Rat und Tat. Wir machen Sie schnell wieder arbeitsfähig und sichern Ihre Systemlandschaft zukunftsfähig ab. Gerne beraten wir Sie auch ganz allgemein zu vorbeugenden Maßnahmen.

Wählen Sie einfach unsere Hotline +49 (911)  95 15 19 50 oder schreiben Sie uns eine Mail an support@premier-experts.de.

Weitere Informationen: