März 2021: Das Zero Day -Exchange-Thema spitzt sich  zu. Weltweit sind hunderttausende Server betroffen.

Durch Informationen von Microsoft und des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde Anfang März 2021 bekannt, dass vier Zero-Day-Sicherheitslücken in Microsoft Exchange Servern existieren. Diese Lücken machen Unternehmen und andere Verantwortliche über das Internet angreifbar, sobald sie Microsoft Exchange Server unter einer bestimmten Konfiguration einsetzen. Das BSI stuft die Gesamtsituation als kritisch ein, da bereits eine flächendeckende Ausnutzung stattfand und somit die Wahrscheinlichkeit einer Kompromittierung der verwundbaren Systeme als realistisch anzusehen ist. Dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) und dem Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) liegen bereits hunderte Meldungen nach Art. 33 DSGVO vor, bei denen eine Kompromittierung nachgewiesen werden konnte. Es handelt sich somit um keine abstrakte, sondern um eine akute Gefährdung. Jeder Kunde ist für seine Server verantwortlich, auch wenn der einzelne oder auch wir IT-Dienstleister nichts für die akute Lage können.

Was haben wir als SysTec bis dato bei Kunden getan, von denen wir beauftragt wurden? Und wie ändert sich aktuell permanent die Bedrohungslage:

• Die von Microsoft zur Verfügung gestellten Sicherheitsupdates wurden bei unseren SysPatch Kunden ad-hoc bis zum 05.03 eingespielt. Also sehr schnell.
• Wir sind seit über einer Woche Rund-um-die Uhr für unsere Kunden aktiv.
• Es kamen immer wieder neue Tools, Empfehlungen und Möglichkeiten im Tagestakt bis Stundentakt heraus.
• Am 12.03 kam ein update von Microsoft zur Bedrohungslage samt Handlungsempfehlungen: https://www.microsoft.com/security/blog/2021/03/12/protecting-on-premises-exchange-servers-against-recent-attacks/
• Es kann festgehalten werden, dass weltweit viele Systeme (in Deutschland Zehntausende lt. BSI https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Server/Microsoft-Exchange_Schwachstelle/schwachstelle_exchange_server.html) bereits vor der Zurverfügungstellung kompromittiert waren und damit noch immer sein könnten. Daher könnten Gefahren durch tiefere Verschlüsselungs- und ransomware-Angriffe bis hin zu Datendiebstahl und mehr drohen.

1. Deep dive Analysen zu Ihrer akuten Bedrohungslage! Automatische, toolunterstützte und manuelle Prüfung der Exchange Server, z. B. auf Web Shells, als Hinweis auf einen bereits stattgefundenen, unbefugten Zugriff.
2. Sichern der Serverstände. Überprüfen der Server Back-Ups:
3. Sicherung des Serverstands zu forensischen Zwecken (Full Backup, VM).
4. Geht Ihr Back-Up schon weit genug zurück? Backup-Restore auf einen nicht-kompromittierten Stand durchführen und eine damit verbundene Neuinstallation (Hinweis: Es gibt diverse Möglichkeiten, nach einem Angriff den Exchange wieder in Betrieb zu nehmen, die jedoch vom konkreten Schadensbild und der weiteren unternehmerischen Ausrichtung abhängen.).

Wir können/dürfen nicht ohne Auftrag auf Ihre Server, wenn Sie keine Maintenance bei uns gebucht haben.  Melden Sie sich bei uns!

Wenden Sie sich an unsere Technik – 0841 885 155 555 oder support@systec-computer.de.