Exchange-Server-Administratoren sollten sicherstellen, dass ihre Systeme auf dem neuesten Stand sind. Im schlimmsten Fall können Angreifer Schadcode auf die Server laden und ausführen. In diesem Fall gelten die Systeme in der Regel als kompromittiert.
Angriffe gibt es schon seit langem
Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind rund 12.000 Exchange-Server der Versionen 2013 und 2019 angreifbar. Das geht aus einer aktuellen Untersuchung von CERT-Bund hervor.
Angreifer könnten demnach mehrere Schwachstellen (darunter CVE-2021-24227 „kritisch“ und CVE-2022-4231 „hoch“) direkt angreifen und im Erfolgsfall die vollständige Kontrolle über ganze Netzwerke inklusive Active Directory erlangen. Eine Lücke wird bereits von Angreifern ausgenutzt.
Verwirrender Patch-Status
Seit Oktober und November sind Sicherheits-Patches verfügbar. Proxy-Anmeldeangriffe können in einigen Fällen immer noch genutzt werden. Obwohl seit März 2021 Sicherheitspatches für Exchange-Server verfügbar sind (auf Exchange-Servern wird z. B. ein aktueller kumulativer Update-Status angezeigt), sind einige Sicherheitsupdates in bestimmten Fällen nicht vollständig installiert. Das kann Administratoren zu der Annahme verleiten, dass diese Systeme sicher sind. Ein Mitarbeiter eines IT-Sicherheitsunternehmens hat heise Security darauf hingewiesen, und der CERT-Bund bestätigt dies nun.
Der genaue Grund für die unvollständige Patch-Installation ist derzeit noch nicht bekannt. Unzureichende Benutzerrechte können laut Microsoft-Support-Artikel zu Problemen bei der Installation von Exchange-Updates führen.
Die CERT-Allianz geht davon aus, dass es viele Server gibt, die nicht richtig gepatcht wurden und somit anfällig sind. Microsoft hat auf eine Anfrage von heise Security zu dem aktuellen Problem noch nicht geantwortet.
Exchange-Angriffe ohne Ende
Seit Monaten wird in den Medien über Angriffe auf Exchange-Server berichtet. Das CERT Bund hat Anfang November 2021 vor 8000 Exchange-Servern gewarnt, die angreifbar sind. Diese Systeme erhalten keine Sicherheitsupdates mehr und stellen ein Angriffsrisiko dar.
Schlussfolgerung: Es ist dringend erforderlich, dass Sie sofort handeln!
Die Situation ist als äußerst kritisch einzustufen. Dies zeigt einmal mehr, wie wichtig es ist, die Sicherheit der Verarbeitungsprozesse zu gewährleisten. Ein Störfallmanagementsystem ist heute unerlässlich. Dies ermöglicht eine sofortige Reaktion (Response) im Falle einer Störung (Incident).
Ein Unternehmen sollte stets darauf achten, dass die Mitarbeiter ausreichend geschult sind. Je schneller ein Vorfall gemeldet werden kann, desto erfolgreicher und effizienter können Abhilfemaßnahmen getroffen werden. Cyber-Bedrohungen wie Botnet-Angriffe, Phishing und andere Formen der Cyber-Kriminalität nehmen zu. Online-Schulungen zur Informationssicherheit werden dringend empfohlen, um das Bewusstsein zu schärfen.
Nach einem Angriff ist vor dem Angriff. Es sollten erweiterte Sicherheitsvorkehrungen getroffen werden. Hier hilft Ihnen unser IT-Security-Partner movetech gerne weiter.