Die Probleme mit dem Sicherheitslücken des Microsoft Exchange-Servers weiten sich aus. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat die „Alarmstufe Rot“ für diese Schwachstellen ausgerufen.

Dies bedeutet, dass eine extrem kritische Bedrohungslage vorliegt und der Ausfall ganzer Dienste zu erwarten ist.

Aus eigener Erfahrung können wir diese Einschätzung bestätigen. Bereits wenige Stunden nach der Veröffentlichung der Informationen und dem verfügbaren Patch seitens Microsoft konnten wir Angriffsversuche in den Logfiles einzelner Server feststellen. Alle direkt in unserer Verantwortung befindlichen Exchange-Server wurden noch am gleichen Tag mit den Updates versorgt. Eine nachträgliche Prüfung einiger bereits vorher erfolgten Angriffsversuche hatten dank weiterer Sicherheitsmaßnahmen keinen Erfolg. Für einen erfolgreichen Angriff sind mehrere Sicherheitslücken in Kombination notwendig. Alle Server waren auch vor dem Angriff auf dem aktuellen Stand der verfügbaren Updates und sind durch eine Firewall geschützt. In letzter Instanz wurden die Angriffe durch die auf dem Server installierte Security Software ESET Mail Security abgewehrt.
Dies zeigt, wie wichtig eine Mischung von verschiedenen Regeln, Produkten und Maßnahmen im Rahmen von Sicherheitsrichtlinien sind:

  • Alle Systeme zeitnah und unter Überwachung mit Updates versorgen
  • Schutz durch eine gut konfigurierte und aktiv gepflegte Firewall
  • Absicherung der Server durch eine geeignete und gepflegte Security-Suite
  • Regelmäßige Datensicherung zu räumlich unabhängigen Zielen mit Überwachung der erfolgreichen Funktion
  • Laufende Anpassung der Richtlinien anhand der jeweils aktuellen Bedrohungslage

Alle Kunden – welche nicht aktiv durch uns betreut werden – sollten die notwendigen Updates unverzüglich installieren.
Wenn Sie hierzu Hilfe benötigen, wenden Sie sich an unseren Helpdesk.

Es gibt Anzeichen, dass die Lücken nicht nur von dem in China ansässigen Hackerteam „Hafnium“ verwendet werden. Weitere Hackerteams weltweit springen auf den Zug auf und nutzen die Lücken für die schon bekannten Verschlüsselungs- bzw. Erpressungstrojaner aus.
Microsoft hat in den letzten Tagen auch Patches für ältere Softwarestände der betroffenen Server veröffentlicht. Damit ist ein Update der Exchange-Server auf eine neueres CU nicht mehr zwingend notwendig.

Quellen/Weiterführende Links:
Microsoft
BSI/Cert-Bund
Heise Security
ESET Security