Exchange Sicherheitslücke 2021 - Aktueller Wissensstand

Weltweiter Hackerangriff auf Exchange Server

-- Update 24.03.2021 ---
Es wird davon ausgegangen, dass noch mehr als die Hälfte der weltweiten Exchange Server ungepatched sind.

https://www.itmagazine.ch/artikel/74278/Exchange-Luecke_Mehr_als_die_Haelfte_aller_Server_weltweit_noch_ungepatcht.html

Sämtliche Exchange Server der Kunden von EDVPOINT AG sind gepatched und werden seit 2 Wochen intensiv überwacht. 
Wir konnten keine Einbruchsversuche mehr feststellen.

Damit schliessen wir dieses Thema. Dies ist vorläufig das letzte Update.

--- Update 13.03.2021 ---
Die Sicherheitslücke wird nun auch durch Cyberkriminelle ausgenutzt, welche mit Ransomware Daten der Server verschlüsseln und Lösegeld verlangen.
Es existieren aktuelle Meldungen von Attacken mit der Ransomware "DearCry".

Alle Exchange Server der Kunden von EDVPOINT AG sind auf dem aktuellsten Stand inkl. Security Update.
Unerlässlich ist in der aktuellen Situation ein gutes funktionierendes Backup, idealerweise ein CloudBackup.
Wir haben die Kontrollen der Datensicherungen unserer Wartungsvertragskunden aufgrund der Situation intensiviert.

Zurzeit empfehlen wir nach Möglichkeit denoch die HTTPS Verbindungen geschlossen zu lassen.

--- Update 11.03.2021 ---

Die Schweiz ist weltweit eines der am stärksten betroffenen Länder

Unsere Recherchen haben gezeigt, dass beinahe alle Exchange Server, welche direkt im Internet erreichbar sind, bereits am 3.3.2021 angegriffen wurden und Webshells platziert wurden.

Zu unterscheiden sind Server, welche lediglich mit einer Webshell "ausgestattet" wurden(1) und Server, welche bereits tiefergreifende Angriffe aufweisen(2).

1. Webshells wurden platziert

Zu finden sind diese WebShells im angezeigten Pfad. Dies deutet aktuell darauf hin, dass der Server im Zuge der Angriffswelle gefunden und für künftige Angriffe vorbereitet wurde.

2. Anpassungen an den Servereinstellungen

Gewisse Server wurden manipuliert. Es wurde festgestellt, dass NTFS Berechtigungen beispielsweise im Ordner C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth angepasst wurden.

Angepasste Sicherheitseinstellungen
Sowie Tasks eingeplant - auch auf weiteren Servern welche in der Domäne gefunden wurden

Diese Anpassungen bewirken, dass der Server nicht ohne weiteres auf einen aktuellen Stand gepatched werden kann sowie die Unsicherheit steigt, dass dies nur die Spitze des Eisbergs ist. Zumindest besteht die Möglichkeit, dass Schadsoftware plaziert und ausgeführt wurde.

Bei beiden Varianten lautet die aktuelle dringende Empfehlung: HTTPS Port gesperrt lassen.

Selbstverständlich ist sowieso die beste Variante den Exchange Server aus einer Sicherung vor dem 3.3.21 zu restoren oder gleich eine Migration nach Exchange Online durchzuführen.
Sofern auch eingeplante Tasks auf anderen Servern gefunden wurden, bleibt aber selbst dann noch ein Restrisiko, bzw. müssten alle Server wiederhergestellt werden.

--- Update 09.03.2021 ---

Der Umfang der Angriffe scheint weit grösser zu sein als ursprünglich angenommen.
Bekannt ist, dass eine hohe Anzahl von Server weltweit betroffen ist/war. Experten schätzen die Zahl auf über 100'000 kompromittierte Serversysteme.

Zur Zeit lässt sich noch keine Aussage zum Thema «Datendiebstahl» und «Sicherheit» machen, da schlicht noch zu wenig über die Folgen dieser weltweit angelegten Angriffe bekannt ist.

Durch die kurze Zeit zwischen dem Bekanntwerden der Sicherheitslücke für die Öffentlichkeit und der Angriffe (1. Welle 27.02.2021 – vor der offiziellen Meldung von Microsoft, 2. Welle am 6. März 2021, 2 Tage nach Veröffentlichung der Gegenmassnahme), war es unmöglich, rechtzeitig Gegenmassnahmen zu ergreifen. Man spricht in diesem Zusammenhang auch von Zero-Day Angriffen.

Wir haben über das Thema folgende Links zusammen gestellt, damit Sie sichselber ein Bild der aktuellen Situation machen können.

«Warum drei von vier Firmen jetzt ein Hacker-Problem haben» aus derSüddeutschen Zeitung.
https://www.sueddeutsche.de/digital/microsoft-exchange-server-sicherheitsluecke-1.5228438

 vom zdf:
https://www.zdf.de/nachrichten/digitales/microsoft-exchange-server-sicherheitsluecke-e-mail-100.html

«Hacker nutzen Sicherheitslücke bei Exchange auch für Angriffe in derSchweiz» 
aus dem Bund
https://www.derbund.ch/hacker-nutzen-sicherheitsluecke-bei-exchange-auch-fuer-angriffe-in-der-schweiz-559144835163

Aufgrund des noch niedrigen öffentlichen Kenntnisstand, empfehlen wir HTTPS-Verbindungen zu Ihrem Exchange-Server zu sperren, bis detailliertere Informationen zur Analyse der einzelnen Angriffe bekannt werden.
Dies hat zur Folge, dass keine Synchronisation mit dem Mobiltelefon sowie Outlook und Webzugriff auf das E-Mail von Extern möglich ist.

Ausserdem empfehlen wir dringendst, alle Benutzerpasswörter via Ctrl + Alt + Del am Büroarbeitsplatz sofort zu ändern!

Achten Sie bitte darauf dass Sie ein komplexen Passwort mit Gross- und Kleinbuchstaben, Zahlen sowie einem Sonderzeichen wählen.

--- 08.03.2021 ---

Microsoft veröffentlichte am 3. März eine Warnung über eine offene Sicherheitslücke bei Exchange Server 2010 – 2019, welche es Angreifern möglich macht, auf betroffenen Servern Schadcode auszuführen und Zugang zum Server zu erlangen.

Der benötigte Patch kann auf aktuelle Exchange Server installiert werden, häufig muss aber erst der Exchange Server auf den aktuellsten Stand gepatched werden, was zum Teil mehrere Stunden dauert.

Weitere Informationen finden Sie unter folgenden Links:

https://www.heise.de/news/Jetzt-patchen-Angreifer-attackieren-Microsoft-Exchange-Server-5070309.html
ttps://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

Unsere Kunden werden über den Updatestand Ihres Servers informiert.

Dies könnte Sie noch interessieren

Adresse:
EDVPOINT AG
Baslerstrasse 15
4310 Rheinfelden
Tel. 061 833 06 00
kontakt@edvpoint.com
Bankverbindung:
Aargauische Kantonalbank
4310 Rheinfelden
IBAN: CH 33 0076 1016 0971 9038 0
QR-IBAN: CH55 3076 1016 0971 9038 0
MwSt.-Nr. / UID:
CHE-105.003.348 MWST
Telefonzeiten:
Mo. - Fr.
07:30 - 17:30 Uhr

Logo wir machen Profis
Logo Gewerbeverein Rheinfelden
Logo Gewerbeverein Möhlin
Partnerschaften: