Das BSI warnt aktuell vor kritischen Sicherheitslücken in den Exchange-Servern des Cloud- und Software-Anbieters Microsoft. Jetzt ist schnelles Handeln gefragt. Als APT-Response Dienstleister können wir Sie bestmöglich unterstützen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seit dem 5. März 2021 vor kritischen Sicherheitslücken in den Exchange-Servern des Cloud- und Software-Anbieters Microsoft. Zwar hat Microsoft Sicherheitsupdates bereitgestellt, die die Lücke schließen sollen, Angreifer haben sich jedoch in vielen Fällen längst Hintertüren eingebaut, die zu einem späteren Zeitpunkt ausgenutzt werden können. Aus diesem Grund sollten anfällige Exchange-Systeme dringend forensisch auf Auffälligkeiten geprüft werden, um einen Eingriff in die Unternehmensinfrastruktur bzw. Datendiebstahl auszuschließen.

Angreifer können durch die Lücke der Microsoft-Software E-Mails beliebiger Postfächer lesen und Daten über die Identität des Systemnutzers freigeben. Ein typisches Vorgehen der Täter ist es außerdem, eine Web-Shell auf dem Server zu hinterlassen. Durch eine solche Web-Shell wird ein Remotezugriff auf den Webserver ermöglicht, mithilfe dessen die Täter weitere schadhafte Befehle ausführen können. Dies bedeutet auch, dass Angreifer Ransomware oder andere Schadsoftware einschleusen können, durch die wichtige Daten gesperrt oder geschädigt werden. Da Exchange-Server standardmäßig in vielen Unternehmen hohe Rechte im Active Directory besitzen, kann im schlimmsten Fall die gesamte Domäne kompromittiert werden.

Keine 5 Stunden nachdem die Lücke in der Software öffentlich bekannt wurde und auf die das Microsoft Sicherheitsupdate folgte, waren etliche Systeme durch Angreifer bereits infiltriert worden. Kriminelle Gruppen arbeiteten schnell und machten sich die offenen Exchange Server weltweit zu Nutzen. Exploits wurden massenhaft eingesetzt und tausende Opfer waren das Ziel. Auch in Deutschland wurden verstärkt die Aktivitäten zweier Hackergruppen beobachtet, die nach dem herausgebrachten Patch Zugang zu den Exploits hatten und Malware verbreiteten.

Trotz der Warnung unterschätzen viele Unternehmen den Ernst der Lage und gehen davon aus, dass die angebotenen Microsoft Updates ausreichen, um wieder sicher zu sein. Ob Angreifer in der kurzen Zeit bereits in die Systeme eingedrungen sind, ist dabei auf den ersten Blick schwer ersichtlich. Insbesondere bei auffälligen Funden ist daher eine tiefergehende forensische Analyse nötig. Außerdem wird vom BSI empfohlen, bereits vor der Analyse eine Gesamtsicherung des Exchange-Servers durchzuführen und in jedem Fall die Event-Logs des Domain Controllers zu sichern. Das BSI stellt in dem Kontext außerdem eine Reihe von Empfehlungen auf, die helfen können zu erkennen, ob eigene Server betroffen sind. Je nach Schwachstelle, kann die Ausnutzung beispielsweise mittels Log-Einträgen nachvollzogen werden. Auch das Active Directory sollte hinsichtlich hinzugefügter neuer Benutzer mit hochprivilegierten Rechten geprüft werden. Derzeit wird eine großflächige automatisierte Ausnutzung noch nicht beobachtet, es wird jedoch davon ausgegangen, dass sich dies schnell ändern könnte – somit würden Angreifer noch schneller und zielgerichteter Schaden anrichten können.

Schnelles und gründliches Handeln ist jetzt gefragt.

Praxishinweis

Als vom BSI qualifizierter APT-Response Dienstleister ist Warth & Klein Grant Thornton in der Lage, Ihre Systeme auf mögliche Cybervorfälle zu analysieren und Ihnen sowie Ihren Geschäftspartnern eine valide Aussage über mögliche Sicherheitslücken in Ihren Exchange-Servern geben zu können. Falls unsere Experten Sicherheitslücken identifizieren sollten, umfasst unser Service alle Beratungsleistungen, die Sie bei einem solchen Vorfall benötigen, um die Krise erfolgreich zu meistern und Ihre Daten sowie Ihre Reputation gegenüber Geschäftspartnern zu schützen:

  • die umgehende Reaktion (Cyber Incident Response),
  • technische Analysen,
  • digitale Forensik,
  • Krisenkommunikation, etc.

Unsere Experten sind für Sie rund um die Uhr verfügbar - kontaktieren Sie uns gerne für ein unverbindliches Erstgespräch.