Server in wenigen Klicks absichern

Update: Attacken auf Exchange-Server - Microsoft veröffentlicht Mitigation Tool

Uhr
von René Jaun und Maximilian Schenner und lha, jor

Cyberkriminelle nutzen eine Sicherheitslücke in Exchange-Servern aus - Microsoft veröffentlicht nun ein Mitigation Tool. Damit sollen Admins ihre Server in wenigen Klicks vor den Attacken schützen können.

(Source: Freepik Company S.L. - www.freepik.com)
(Source: Freepik Company S.L. - www.freepik.com)

Update vom 17.03.2021: Als Reaktion auf die jüngsten Attacken veröffentlicht Microsoft nun ein On-Premise Mitigation Tool für Exchange Server (EOMT). Es soll es Admins ermöglichen, ihre Server in kurzer Zeit und mit wenigen Klicks vor den neuen Gefahren zu schützen und richtet sich an jene Nutzerinnen und Nutzer, die das Sicherheits-Update für Exchange-Server noch nicht durchgeführt haben.

Das Tool solle zunächst vor der Initialattacke ProxyLogon (CVE-2021-26855) schützen, wie die Entwickler in einem Blog-Beitrag mitteilen. In weiterer Folge scannt es den Exchange-Server mittels des Microsoft Safety Scanners und versucht etwaige Schäden zu reversieren. Weiter heisst es, das Tool wäre bereits auf den betroffenen Exchange-Serverversionen 2013, 2016 und 2019 getestet worden. EOMT ist auf der Github-Site von Microsoft kostenlos verfügbar.

Die Funktionsweise des On-Premises Mitigation Tools für Microsoft Exchange. (Source: Microsoft)

Microsoft betont, dass das Tool lediglich eine interimistische Lösung sei, und zwar für all jene Nutzerinnen und Nutzer, die mit dem Patching-Prozess noch nicht vertraut sind oder keinen Zugang zu Sicherheits- oder IT-Teams haben, um die nötigen Updates durchzuführen. Auf lange Sicht sei es jedoch dringend notwendig, das Sicherheits-Update für Exchange zu installieren. Die Verlässlichkeit des Tools ist indes noch nicht bekannt. Weiter könne Microsoft nicht garantieren, dass dieses auch Schutz gegen zukünftige Bedrohungen biete.

Update vom 08.03.2021: Microsoft entwickelt Erkennungstool für Schwachstellen; 5 Prozent der betroffenen User stammen aus der Schweiz

Wenige Tage nach dem Bekanntwerden der Exchange-Server-Schwachstellen hat Microsoft ein Erkennungstool für Indicators of Compromise (IOC) entwickelt. Es handelt sich dabei um ein Skript, mit dem Userinnen und User erkennen sollen, ob ihr System von den Angriffen betroffen ist. Das gab die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) bekannt.

Auf der Website der Organisation heisst es: "CISA is aware of widespread domestic and international exploitation of these vulnerabilities and strongly recommends organizations run the script—as soon as possible—to help determine whether their systems are compromised." Das Tool ist auf der Website der CISA verfügbar.

Cybersecurity-Anbieter Kaspersky weist unterdessen darauf hin, dass 4,81 Prozent der attackierten Nutzerinnen und Nutzer aus der Schweiz stammen. Seit Anfang März habe Kaspersky 1200 Angriffe wahrgenommen, welche die Schwachstellen in den Exchange-Servern ausnützten. 26,93 Prozent der Betroffenen stammen laut Kaspersky aus Deutschland, weiter seien Italien (9,00), Österreich (5,72) und die USA (4,73 Prozent) am stärksten betroffen. "Wir haben von Anfang an damit gerechnet, dass die Versuche, diese Sicherheitslücken auszunutzen, rasch zunehmen werden, und genau das sehen wir jetzt", ist der Mitteilung zu entnehmen. "Diese Angriffe sind mit einem hohen Risiko für Datendiebstahl und Ransomware-Attacken verbunden. Daher müssen Unternehmen so schnell wie möglich Schutzmassnahmen ergreifen."

Originalmeldung vom 04.03.2021: Microsoft veröffentlicht Sicherheits-Update für Exchange-Server

Der Tech-Konzern Microsoft hat am 2. März ausserplanmässige Sicherheits-Updates für Microsoft Exchange Server veröffentlicht. Man schliesse damit mehrere Schwachstellen, die bereits für gezielte Angriffe ausgenutzt werden, schreibt das Unternehmen in einem Blogbeitrag. Betroffen ist demnach Microsoft Exchange Server in den Versionen 2010, 2013, 2016 und 2019.

Gemäss Microsoft könne ein Angriff über eine ungesicherte Verbindung zum Exchange Server über Port 443 gestartet werden. Wer allerdings diesen Port absichere, sei dennoch nicht von weiteren Angriffsszenarien gefeiht, heisst es im Blogbeitrag. Microsoft empfiehlt, prioritär jene Exchange Server zu aktualisieren, die extern erreichbar sind. Letztendlich sollten jedoch alle betroffenen Exchange Server aktualisiert werden.

Auch staatliche Behörden verbreiten die Microsoft-Warnung, darunter die US-Amerikanische Cybersecurity and Infrastructure Security Agency (CISA) und das Schweizer Government Computer Emergency Response Team (Govcert). Das Internetportal "Bleeping Computer" berichtet derweil, welche Hackergruppen die Schwachstelle bereits für ihre Angriffe nutzen. Darunter sollen mehrere staatlich unterstützte Gruppierungen, namentlich aus China, sein.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehr-Strategien.

Webcode
DPF8_209125

Kommentare

« Mehr