Nach den vorliegenden Informationen ist das BSI Krisenteam seit Tagen rund um die Uhr im Einsatz. In der Nacht zum 03. März 2021 veröffentlichte Microsoft Out-of-Band Updates für mehrere Exchange Server und gab bekannt, dass schwerwiegende Schwachstellen entdeckt wurden. Rund 25.000 Systeme sollen durch diese Schwachstellen in Deutschland verwundbar sein und Angreifern offen stehen – und das vermutlich bereits seit November 2020. Mittlerweile greifen bereits über zehn Hackergruppen – Microsoft verwies hier vor allem auf die Gruppe Hafnium – über diese Schwachstellen an und verschaffen sich Zugriff auf Emailserver, um dort Malware zu installieren und Systeme zu kompromittieren. „Exchange-Server besitzen in vielen Infrastrukturen standardmäßig (…) sehr hohe Rechte im Active Directory. Es ist denkbar, dass weitergehende Angriffe mit den Rechten eines übernommenen Exchange-Servers potenziell mit geringem Aufwand auch die gesamte Domäne kompromittieren können.“, warnt der CERT-Bund des BSI. Auch sechs Bundesbehörden sollen betroffen sein.

Konkret wurden von Microsoft vier Schwachstellen veröffentlicht, über die Angreifer auf die Exchange Server zugreifen und über den Webport Mails von beliebigen Postfächern auslesen oder beliebige Daten schreiben:

Die am meisten diskutierte Server-side request forgery Schwachstelle CVE-2021-26855 ProxyLogon, ermöglicht es dem Angreifer ohne Authentisierung auf dem Server Kommandos auszuführen. Über die ProxiLogon Schwachstelle soll nun bereits auch Ransomware – von Microsoft „DoejoCrypt“ genannt – auf den Exchange-Systemen gesichtet worden sein.

Die Schwachstelle CVE-2021-26857 Insecure Deserialization im Unified Messaging Service ermöglicht es, beliebigen Programmcode als SYSTEM auf dem Exchange Server auszuführen.

Die Schwachstellen CVE-2021-26858 und CVE-2021-27065 können beliebige Dateien – nach Authentisierung – auf dem Exchange Server schreiben. Diese Authentisierung erfolgt über die Schwachstelle SVE-2021-26855 oder einen abgeflossenen Admin Zugang.

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Besonders schwer treffen diese Angriffe kleine und mittlere Unternehmen, die durch fehlende Cyber Security Expertise schnell an ihre Grenzen geraten. Aus diesem Grund setzte das BSI mehrere Webinare auf, in denen sich bereits nach wenigen Minuten mehrere tausend Teilnehmer einfanden. Jedem ist klar: Es muss gehandelt werden, nur wie?

Wer einen Exchange-Server betreibt, sollte daher Folgendes sicherstellen:

  1. Dass der Server nach dem Patchen nicht bereits kompromittiert wurde.
  2. Dass der Server mit allen aktuellen Updates versehen ist, um etwaige Sicherheitslücken zu schließen.
  3. Dass im Falle eines Datenabflusses ggf. die Meldepflicht bei den Datenschutzbehörden eingehalten wird.

Finden sich Hinweise auf einen Einbruch, muss unbedingt sorgfältig geprüft werden, wie weit die Angreifer bereits ins Netz vordringen konnten. Das BSI hat hierfür weitere Informationen per Video bereitgestellt:

https://www.youtube.com/watch?v=QcqRRc-VoB0
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Weitere konkrete Handlungsempfehlungen finden Sie auch auf Heise Online:

https://www.heise.de/news/Exchange-Hack-Welche-Massnahmen-Unternehmen-jetzt-ergreifen-muessen-5537050.html
Quelle: Heise Online