KMUs müssen sofortige Maßnahmen gegen Microsoft Exchange-Schwachstellen ergreifen

Christopher Budd 12. März 2021 10:18:54 MEZ

Die Patches für Microsoft Exchange haben zur massiven Ausnutzung von Sicherheitslücken geführt. Das BSI hat die “Alarmstufe rot” ausgerufen.

In den vergangenen Tagen haben sich die Nachrichten über die Sicherheitslücken in Unternehmen, die Microsoft Exchange-Server betreffen und die damit verbundenen Cyberangriffe überschlagen. Laut BSI (Bundesamt für Sicherheit in der Informationstechnik) sind in Deutschland aktuell noch ca. 25.000 Systeme verwundbar. Weltweit geht man davon aus, dass ungefähr hunderttausend Unternehmen bereits kompromittiert wurden. 

Dies ist eine Situation, die kleine und mittelständische Unternehmen (KMUs) und andere kleinere Organisationen, wie z.B. kommunale Behörden, unverhältnismäßig stark betrifft und zur Zielscheibe macht. Der folgende Artikel soll den besagten Firmen helfen, die Situation besser zu verstehen und zu erfahren, was zu tun ist.

Ist Ihr Unternehmen betroffen?

Die Schwachstellen, um die es geht, betreffen nur Microsoft Exchange-E-Mail-Server. Das bedeutet, Sie können nur betroffen sein, wenn diese E-Mail-Server im Unternehmen eingesetzt werden. Verwenden Sie z.B. Google GSuite für E-Mails, sind Sie nicht betroffen.

Wenn Sie Microsoft Exchange verwenden, ist die nächste Frage: Haben Sie tatsächlich Server im Einsatz, auf denen Exchange gehostet wird, oder nutzen Sie Microsofts Cloud-Angebot von Exchange über Office365? Verwenden Sie Office365, müssen Sie sich keine Sorgen machen: Microsoft hat sich um das Patchen und die Sicherheit dieser Server gekümmert und es gibt keine Anzeichen dafür, dass Office365 betroffen ist. Wenn Sie jedoch eigene Server haben, dann müssen Sie sofort handeln. 

Was ist passiert und was steht auf dem Spiel?

In der ersten März-Woche 2021 haben Microsoft und Sicherheitsforscher vier Schwachstellen in Microsoft Exchange bekannt gegeben, die aktiv angegriffen wurden. Schwachstellen sind Fehler in Software, die Angriffe ermöglichen können. In diesem Fall ermöglichen es diese Schwachstellen Angreifern, den Exchange-Server komplett zu übernehmen.

Als die Patches veröffentlicht wurden, sagte Microsoft, dass es "begrenzte und gezielte Angriffe" gab. In den Tagen danach haben die Angreifer ihre Aktivitäten jedoch exponentiell gesteigert, und es gibt Berichte über buchstäblich Hunderttausende von Angriffen auf Exchange-Server weltweit.

Während diese Angriffe zunächst Geheimdiensten zugeschrieben wurden, ist es wahrscheinlich, dass eine Reihe verschiedener Arten von Angreifern - einschließlich Cyberkrimineller - jetzt auf diese Situation anspringen. Während Ihr Unternehmen also möglicherweise nicht durch staatlich gesponserte Angriffe gefährdet ist, besteht eine reale Chance, dass Angreifer diese Schwachstellen für traditionellere Angriffe, wie z.B. Erpressungsversuche per Ransomware, nutzen.

1. Jetzt patchen

Die Patches sind jetzt auf der Microsoft-Webseite verfügbar. Sie sollten Sie sofort installieren. Wichtig ist jedoch, dass die Installation der Patches Ihre Systeme nur vor zukünftigen Angriffen schützt! Sie schützen nicht vor Angriffsversuchen auf diese Schwachstellen, die möglicherweise vor der Installation der Patches stattgefunden haben. Wenn Ihr System angegriffen wurde, werden die Patches NICHTS von dem rückgängig machen, was die Angreifer bei ihren Angriffen getan haben könnten. Patches beheben nur Schwachstellen, sie entfernen nicht die Tools der Angreifer und machen keine Manipulationen rückgängig.

2. Vergewissern Sie sich, ob Sie angegriffen wurden

Das Aufspielen von Patches ist der einfache Teil. Die nächsten Schritte sind schwieriger und erfordern mehr Fachwissen. Sie sollten in Erwägung ziehen, hierbei Expertenhilfe in Anspruch zu nehmen. Im ersten Schritt können Sie die von Microsoft bereitgestellten Informationen verwenden, um festzustellen, ob Ihr System durch einige bekannte Arten von Cyberangriffen gefährdet wurde. Wenn Sie auf Ihren Exchange-Servern Informationen finden, die mit den Microsoft-Hinweisen übereinstimmen, wurde Ihr System wahrscheinlich durch diese Angriffe kompromittiert und Sie müssen weitere Maßnahmen zur Wiederherstellung ergreifen.

Auch wenn Sie zunächst keine der von Microsoft genannten Hinweise auf Ihrem System finden, besteht die Möglichkeit, dass Ihr System auf eine weniger bekannte Art und Weise angegriffen wurde. In diesem Fall haben Sie zwei Möglichkeiten:

  • Behandeln Sie das System als wahrscheinlich kompromittiert und ergreifen Sie vorbeugende Maßnahmen zur Wiederherstellung, wie unten beschrieben.
  • Behandeln Sie das System als möglicherweise kompromittiert und überwachen Sie es auf ungewöhnliche Aktivitäten und suchen Sie nach Indikatoren für eine Kompromittierung.

Mit Sicherheit sagen zu können, dass ein ungepatchtes System nicht kompromittiert wurde, ist nur mit einer spezifischen, fachkundigen Analyse Ihrer Systeme möglich.

3. Wiederherstellung

Wir empfehlen dabei die beiden Standard-Schritte für jede mögliche Kompromittierung-Situation: "Trennen und Wiederherstellen". Sie sollten das kompromittierte (oder potenziell kompromittierte) System sofort abtrennen, da dies die Tür für den Zugriff des Angreifers schließt. Denken Sie daran, dass selbst, wenn Sie das System gepatcht haben, die Angreifer möglicherweise über andere Kontrollmittel verfügen. Das Patchen allein ändert daran nichts. Durch das Trennen der Verbindung wird der Zugriff der Angreifer auf das System unterbrochen.

Die vollständige Wiederherstellung des betroffenen Systems der beste Schritt, um die Angreifer und ihre Tools von Ihrem System zu entfernen. Sie können stattdessen eine Wiederherstellung von Backups in Betracht ziehen. Allerdings müssen Sie sicherstellen, dass Sie von Backups wiederherstellen, die vor der Kompromittierung erstellt wurden. Wenn Sie von einem Backup wiederherstellen, das gefahren wurde, nachdem das System kompromittiert wurde, stellen Sie den Zugriff für die Angreifer ungewollt wieder her. Stellen Sie außerdem sicher, dass Sie bei der Wiederherstellung das System patchen, bevor Sie es wieder anschließen und in Betrieb nehmen. In solchen Situationen ist es nicht ungewöhnlich, dass ein nicht gepatchtes  wiederhergestelltes System erneut kompromittiert wird.

4. Schutz vor zukünftigen bösartigen Aktivitäten

Wenn Sie ein gepatchtes, wiederhergestelltes System wieder in Betrieb genommen haben, sind Sie noch nicht fertig. Angreifer könnten das kompromittierte System genutzt haben, um an anderer Stelle in Ihrem Netzwerk Fuß zu fassen. Richten Sie ein Monitoring ein, das ungewöhnliches Verhalten in Ihrem Netzwerk identifiziert. Sie sollten besonders auf die folgenden Aktivitäten achten: 

  • Ungewöhnliche Aktivitäten von Konten auf Administrator-Ebene
  • Ungewöhnlicher Netzwerkverkehr zwischen verschiedenen geografischen Standorten
  • Ungewöhnliche Aktivitäten beim Remote-Zugriff.

Dies ist keine vollständige Liste, aber es sind wichtige Punkte, auf die Sie achten sollten. Leider haben wir gesehen, dass Angreifer, die bereits in einem Netzwerk Fuß gefasst haben, selbst für Experten schwer zu erkennen sind.

Zusätzlich zur Überwachung sollten Sie sicherstellen, dass alle Ihre Systeme mit allen Patches für die Betriebssysteme und Anwendungen auf dem neuesten Stand sind. Sie können zudem aggressive Sicherheits-Scans auf allen Systemen durchführen. Dies kann Ihnen helfen, andere Malware oder Tools zu identifizieren, die Angreifer möglicherweise auf Ihren Systemen und in Ihrem Netzwerk platziert haben.

Die Exchange-Angriffe auf der ganzen Welt sind eine sehr ernste Situation, die von den Betroffenen verlangt, dass sie jetzt sofort Maßnahmen ergreifen. Wenn Sie sofort handeln und unsere Tipps befolgen, können Sie verhindern, dass etwaige Cyberattacken noch mehr Schaden anrichten, insbesondere wenn es zu einem Ransomware-Angriff in der Zukunft kommen sollten. Wenn Sie Anzeichen für eine Kompromittierung sehen, bitte ziehen Sie IT-Experten für Cyberangriffe zurate.

Interessiert an mehr News von uns? Folgen Sie uns auf Facebook und auf Twitter!