16.03.2021 - Newsflash
Weitreichendere Sicherheitsüberprüfungen nach Exchange Hacks sind dringend angeraten
Stufe Rot für Exchange Server
Kiel – Nach wie vor warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der höchsten Bedrohungslage „ROT“ vor einer aktiven Ausnutzung von Sicherheitslücken für Exchange-Server-Systeme, die mit dem Internet verbunden sind (OWA – Outlook Web Access). Die vermutlich chinesischen Angreifer können derart exponierte Server und gegebenenfalls dahinterliegende Strukturen mittels einfacher Webserver-Anfragen übernehmen.
Aufgrund der Bedrohungslage sollten die bereitgestellten Patches möglichst umgehen installiert worden sein. Bei Veröffentlichung dieser Meldung ist davon auszugehen, dass derzeit noch ungepatchte Server bereits korrumpiert sind. Selbst zwischenzeitig gepatchte Systeme enthielten bereits “installierte Hintertüren” laut BSI-Chef Arne Schönbohm. In Deutschland wurden cirka 65.000 Server als potenziell angreifbar identifiziert. Weltweit sollen bereits mehr als 100.000 Systeme von Hackern infiltriert sein.
Angegriffene Systeme und korrumpierte Installationen sind aufgrund der IIS- (Internet Information / Web Server) und Exchange-Logdateiauswertung mit Tools wie z. B. Splunk identifizierbar. Mit einem Endpoint-Management-System wie Tanium können derartige Installationen vor weiteren Angriffen proaktiv geschützt werden.
Die von Microsoft veröffentlichten Out-of-band Updates für Exchange Server ermöglichen es nur erste Sicherheitslücken zu schließen. Auch das BSI empfiehlt dringend eine Sicherheitsüberprüfung des gesamten IT-Systems. Hierbei unterstützt Consist mit seiner umfassenden Security-Expertise.
Weitere Informationen: Leitfaden des BSI „Detektion und Reaktion“ (Stand 12.03.2021)