Microsoft gibt Empfehlung für IT-Sicherheitscheck nach Hafnium Exchange Hack!
SYSTAG bietet Betroffenen Hilfe an, um Cyberangriffe zu erkennen und zu stoppen.
Hafnium Exchange Server Hack – die schleichende Kathastrophe!
Der Hafnium Exchange Server Hack – Das ist passiert
Laut Schätzungen sind weltweit ca. 250.000 Exchange Server für Cyberattacken offen wie ein Scheunentor. 30.000 US-Kunden wurden bereits gehackt, laut Heise sind allein in Deutschland Zehntausende Exchange-Server betroffen, davon laut BSI einige in deutschen Bundesbehörden. Gestartet wurden die Attacken offenbar durch eine chinesische Hackergruppe namens Hafnium, die direkte Verbindungen zur chinesischen Regierung haben soll.
Das „Zero-Day-Exploit“ in der Server-Software von Microsoft Exchange der Releases 2010, 2013, 2016 und 2019 wurden mindestens 2 Monate unentdeckt für unterschiedlichste Attacken genutzt.
Eine Zero-Day-Exploit Attack (ZETA) ist ein Angriff, der am selben Tag erfolgt, an dem die hierbei ausgenutzte Schwachstelle in der entsprechenden Software entdeckt wird. In diesem Fall wird die Schwachstelle ausgenutzt, bevor sie vom Softwarehersteller durch einen Fix geschlossen werden kann. Die Entwickler haben null Tage um den Fehler mit einem Fix / Patch zu beheben, daher Zero Day.
Obwohl Microsoft schon am 2. März 2021 Not-Patches für vier gefährliche Schwachstellen im Exchange Server verfügbar gemacht hat, werden sie weiter ausgenutzt. Kaspersky hat seit Anfang März (Stand 08.03.2021) „verwandte Angriffe bei über 1200 Nutzern entdeckt, wobei diese Zahl kontinuierlich zunimmt“. Die meisten Betroffenen kommen aus Deutschland (26,93 %), 9 % stammen aus Italien, 5,7 % aus Österreich, 4,8 % aus der Schweiz und 4,7 % aus den USA. 
Sicherheitslücken in einer Software bedeuten noch nicht, dass man Opfer eines erfolgreichen Cyberangriffs ist. Vielmehr heißt das, dass man vergessen hat, seine Haustür zu schließen und nun jeder, der das weiß, ins Haus hineinspazieren kann, ohne dass man es merkt. Außer man hat einen Sensor, beispielsweise eine Lichtschranke oder Bewegungsmelder, der eine Warnung auslöst. Als ersten Schritt sollte man die Türe schließen, d.h., die von Microsoft bereitgestellten Softwarepatches einspielen, die diese Lücken schließen. Weiter unten haben wir die offiziell empfohlene Vorgehensweise von Microsoft bereitgestellt. Microsoft empfiehlt darin ganz ausdrücklich, zu untersuchen, ob die Angreifer die Lücken (Exploits) bereits nutzen und in Ihr Intranet/System eingedrungen sind. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) weist ausdrücklich darauf hin.
Die Handlungsempfehlung des BSI finden Sie hier.
Der Hafnium Exchange Server Hack – Das muss nach den Patches getan werden
Microsoft benennt die „Indicators of Compromise“ (IOC), das sind – „Hinweise auf das Eindringen“ von Akteuren, die in Ihren Systemen nichts zu suchen haben. Selbst wenn die Angreifer noch nichts unternommen haben, das Ihnen schadet, müssen sie daran gehindert werden, Schaden anzurichten, und sofort aus dem System verbannt werden. Die professionelle Suche nach diesen IOCs wird als Compromise Assessment (CA) oder IT-Sicherheitscheck bezeichnet.
Ein Compromise Assessment zeigt auf, welche Bereiche im Unternehmen besonders gefährdet sind, welche Schwächen bestehen und wie diese beseitigt werden können. Ein unentdeckter Angriff wird dabei erkannt und die nötigen Maßnahmen werden sofort eingeleitet. Als Ergebnis der durchgeführten Systemscans erhält man eine Übersicht der Bedrohungslandschaft. Alle befallenen Systeme werden angezeigt, ebenso, welcher Befall besteht und wie es zu diesem kam.
Wie wir Ihnen dabei helfen können
Als zertifizierter MSSP (Managed Security Service Provider) können wir binnen weniger Stunden ermitteln, ob ein System infiziert ist oder nicht. Die von uns eingesetzten Tools durchleuchten innerhalb von Sekunden riesige Datenmengen mit künstlicher Intelligenz und erkennen bereits kompromittierte Dateien und zukünftige Cyberattacken vollautomatisch und ersticken sie bereits im Keim.
Für einen schnellen Einsatz haben wir die benötigten Systeme vorkonfiguriert und können somit sofort nach der Integration der Tools mit dem Scan Ihrer Umgebung beginnen. Das Ergebnis, des Compromise Assessments, wird von uns ausgewertet und die daraus zu ziehenden Maßnahmen mit Ihnen besprochen. Für den Fall, dass Sie von einem Angriff betroffen sind, setzen wir unverzüglich Maßnahmen um und können gemeinsam mit Ihnen eine passende Cyber Security Strategie für Sie realisieren.
Ein Compromise Assessment ist vom zeitlichen und Kostenaufwand begrenzt und kann parallel zum Tagesgeschäft durchgeführt werden. Bei einem möglichen Befall wird sofort angezeigt, welche Stellen betroffen sind und diese können umgehend behoben werden.
Vorteile eines Compromise Assessment:
- Geschwindigkeit
- Automatisierte Analyse durch KI
- Überschaubare Kosten
Wurden Sie schon Opfer einer Attacke?
Bei einem IT-Notfall – ein sogenannter Incident Response, werden sofort die ersten Schritte eingeleitet. Zuerst können z.B. alle Systeme, die nicht kritisch sind, quarantäntisiert werden. Für die kritischen Systeme werden sofort Schritte der Sicherung eingeleitet.
So erreichen Sie unser Supportteam: Mo.–Fr. 08:00 – 17:00 Uhr
unter (07123) 92 02 22 0
Hafnium-Exchange-Hack – offizielle Empfehlung von Microsoft
Sie haben einen Exchange-Server 2010, 2013, 2016 und 2019?
Wir empfehlen ausdrücklich, die genannten Patches umgehend zu installieren. Die Suche nach potentiellen Angriffen sollten Sie allerdings Cyber Security Spezialisten wie der SYSTAG überlassen, die das besser nachweislich besser können als Microsoft selbst. Sonst hätte es ja dieses Malheur nicht gegeben.
Folgendes rät Microsoft allen Kunden, die Exchange-Server 2010, 2013, 2016 und 2019 einsetzen.
Aus dem Partnerschreiben von Microsoft vom 10.03.2021:
Microsoft hat mehrere Sicherheitsupdates für Microsoft Exchange Server veröffentlicht. Die Updates schließen Sicherheitslücken, die in einigen Fällen für gezielte Attacken genutzt wurden.
Aktuell betroffen von der Schwachstelle sind die lokalen Exchange Server 2010, 2013, 2016 und 2019. Exchange Online ist nicht beeinträchtigt. Um das Sicherheitsrisiko zu minimieren, empfehlen wir, unverzüglich die folgenden drei Schritte durchzuführen:
- Patches für Exchange-Umgebungen installieren
Um die Schwachstellen zu beheben, sollten Sie auf die neuesten Exchange Cumulative Updates wechseln und dann die entsprechenden Sicherheitsupdates auf jedem Exchange Server installieren. Sie können das Skript „Exchange Server Health Checker“ nutzen, das Sie von GitHub herunterladen können (verwenden Sie bitte die neueste Version). Sobald Sie dieses Skript ausführen, können Sie feststellen, ob Sie mit den Updates für Ihren lokalen Exchange Server im Verzug sind (beachten Sie, dass das Skript Exchange Server 2010 nicht unterstützt).
- Suche nach denIndicators of Compromise
In diesem Artikel hat Microsoft Informationen zusammengefasst, die SOCs und Security Verantwortlichen dabei helfen sollen, proaktiv nach verdächtigen Aktivitäten in ihrer Umgebung zu suchen. Dort finden Sie auch die Indicators of Compromise (IOCs), Erkennungsrichtlinien und erweiterte Suchanfragen, mit denen Sie diese Aktivität mithilfe von Exchange-Serverprotokollen, Azure Sentinel, Microsoft Defender für Endpoint und Microsoft 365 Defender untersuchen können. Bitte führen Sie alle dort genannten Schritte aus. Weitere Informationen und Handlungsempfehlungen sind im Artikel verlinkt.
- Indicators of Compromise zeigen positive Ergebnisse?
Wenn der Scan der Exchange-Protokolldateien für Kompromissindikatoren (Indicators of Compromise) positive Ergebnisse zeigt, können Sie sich gerne an uns wenden.
Weitere Ressourcen zu den Microsoft Exchange Sicherheitsupdates finden Sie hier:
- Exchange Server Security Updates für ältere Cumulative Updates (CUs): March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server – Microsoft Tech Community
- Übergreifender Blogpost mit den wichtigsten Informationen: Hafnium: Microsoft Exchange-Sicherheitsupdate zum Schutz vor neuen nationalstaatlichen Attacken verfügbar
- Informationen zu den Security Updates für Exchange Server: Multiple Security Updates Released for Exchange Server
Hier finden Sie noch weitere technische Details zu Hafnium bei Microsoft.
Bitte besuchen Sie regelmäßig die hier geteilten Links und Quellen, da diese fortlaufend aktualisiert werden.
Sollten Sie weitere Rückfragen dazu haben, stehen wir Ihnen gerne zur Verfügung.
So erreichen Sie unser Supportteam:
Mo-Fr 08:00 – 17:00 Uhr
unter (07123) 92 02 22 0
