Contact
QR code for the current URL

Story Box-ID: 1048997

8com GmbH & Co. KG Europastraße 32 67433 Neustadt an der Weinstraße, Germany http://www.8com.de
Contact Mr Kent Gaertner +49 30 3030808913
Company logo of 8com GmbH & Co. KG

Exchange-Server-Hack: BSI ruft Alarmstufe Rot aus

(PresseBox) (Neustadt an der Weinstraße, )
Die Zahl der von einem Massenhack betroffenen Microsoft Exchange Server steigt stündlich. Bereits zehntausende Systeme sind allein in Deutschland kompromittiert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht die IT-Bedrohungslage folglich als „extrem kritisch“. Betroffen seien Organisationen jeder Größe. Auch sechs Bundesbehörden gehören zu den Opfern des Angriffs. Das BSI „empfiehlt allen Betreibern von betroffenen Exchange-Servern, sofort die von Microsoft bereitgestellten Patches einzuspielen.“

Angriff auf Ziele in den USA

Dabei schien zunächst alles ganz harmlos zu sein. Microsoft schloss zum 3. März 2021 mit einem außerplanmäßigen Sicherheitsupdate vier Schwachstellen in Microsofts Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) und stellte die Bedrohung als recht gering dar. Inzwischen läuft eine Angriffswelle gegen entsprechende Exchange-Instanzen, die es in diesem Ausmaß wohl noch nie gegeben hat. Denn die Sicherheitslücken sind von mutmaßlich chinesischen Angreifern bereits ausgenutzt worden. Microsoft hat die Hackergruppe Hafnium getauft und in einem Blogeintrag angegeben, dass sie es vor allem auf Informationen US-amerikanischer Unternehmen und Behörden abgesehen hätten.

Betroffen sind laut Microsoft die selbst gehosteten Exchange-Server-Versionen 2013, 2016 und 2019. Der Exchange-Cloud-Service von Microsoft sei dagegen sicher. Viele Unternehmen, Behörden und Bildungseinrichtungen setzen Exchange als E-Mail-Plattform ein. Durch die geschickte Ausnutzung der Schwachstellen konnten die Angreifer gezielt Dateien auf den betroffenen Servern ablegen und schließlich Code mit Systemberechtigungen ausführen. Sie richteten eine sogenannte Web-Shell ein und verschafften sich damit dauerhaft Zugriff auf sämtliche Daten des Exchange-Servers, etwa E-Mail-Postfächer und Kontaktdaten. Die Hacker könnten sich allerdings auch weiter im Unternehmensnetzwerk ausbreiten.

Es ist zu befürchten, dass die Sicherheitslücken in Zukunft von weiteren kriminellen Hackergruppen zum Beispiel für Ransomware-Angriffe ausgenutzt werden.

Wie Sie sich schützen


Mit der KB5000871 veröffentliche Microsoft zusammen mit dem Advisory den Patch für Exchange Server 2013, 2016 und 2019. Exchange 2010 wird durch KB5000978 abgesichert. Die Patch-Voraussetzungen und -abläufe beschreibt der Hersteller detailliert auf seinem Blog. Nach unseren Beobachtungen haben viele Firmen die genannten Patches bereits am 03. März eingespielt, konnten damit eine Kompromittierung aber nicht mehr verhindern.

Neben den Patches bietet Microsoft PowerShell-Scripts zur Überprüfung auf eine Kompromittierung an. Alternativ wurden die Überprüfungen in den Microsoft Safety Scanner implementiert.

Im Falle einer Kompromittierung sollte der betroffene Server vom Unternehmensnetzwerk getrennt werden, um eine weitere Ausbreitung im Netzwerk zu verhindern. Anschließend kann überprüft werden, inwiefern eine Ausweitung des Angriffs auf weitere Systeme im Netzwerk bereits stattgefunden hat. Der Exchange-Server sollte neu aufgesetzt werden. Spielen Sie unbedingt vor der erneuten Anbindung an das Netzwerk die aktuellen Updates ein.

Das Passwort des KRBTGT-Accounts sollte zweimal innerhalb von 12 Stunden geändert werden, um mögliche Golden Tickets der Domain im Besitz des Angreifers zu stoppen. Zusätzlich müssen die Passwörter aller Accounts geändert werden, die mit dem Exchange-Server in Verbindung gebracht werden können. Dies kann sowohl Domain-Accounts als auch lokale Accounts betreffen.

8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.