Am 03.03.2021 hat Microsoft Informationen und Patches zu mehreren erheblichen Sicherheitsl\u00fccken in ihrem Exchange-Mailserver-Produkt ver\u00f6ffentlicht, die zu diesem Zeitpunkt bereits aktiv ausgenutzt wurden und durch die Ver\u00f6ffentlichung seitdem umso mehr und weiterhin ausgenutzt werden, nicht mehr nur von den urspr\u00fcnglichen Angreifern.<\/p>\n
Eine Ausnutzung der L\u00fccke f\u00fchrt zu unbeschr\u00e4nkten Systemrechten auf dem betroffenen Mailserver und kann in den meisten Kundenumgebungen weiterhin auch die komplette \u00dcbernahme der Active-Directory-Dom\u00e4ne bedeuten.<\/p>\n
Folgendes konnte in betroffenen Netzwerken bereits beobachtet werden:<\/p>\n
– Extraktion der Postfach-Inhalte
\n– Extraktion weiterer Dateien (unabh\u00e4ngig von Mailpostfach-Inhalten) von weiteren Windows-Servern in der Dom\u00e4ne
\n– erfolgreicher Angriff auf das Haupt-Administrator-Konto der Windows-Dom\u00e4ne, sodass die Angreifer s\u00e4mtliche Privilegien in der gesamten Active-Directory-Struktur erlangen konnten
\n– Anlegen neuer Administrator-Konten f\u00fcr die Angreifer, Deaktivieren der legitimen Erheblichen Sicherheitsl\u00fccken in ihrem Exchange-Mailserver-Produkt<\/p>\n
Da die von den urspr\u00fcnglichen Angreifern abgelegte sogenannte „Webshell“ auch f\u00fcr andere b\u00f6swillige Akteure zu deren Nutzung offensteht (und Erpressung von Unternehmen per Datenverschl\u00fcsselung lukrativ ist), ist die Gefahr, dass diese L\u00fccken auch f\u00fcr Ransomware \/ Datenverschl\u00fcsselung, Datenmanipulation \/ -L\u00f6schung etc. genutzt werden, sehr hoch.<\/p>\n
Einzige M\u00f6glichkeit zur Behebung der L\u00fccke ist die Installation der in der letzten Woche von Microsoft diesbez\u00fcglich ver\u00f6ffentlichten Patches. Es gibt keinen anderen Workaround, au\u00dfer die Webschnittstelle des Exchange-Server komplett aus dem Internet unerreichbar zu machen per Firewall.<\/p>\n
Nach dem Patchen muss gepr\u00fcft werden, ob der Server bereits \u00fcber die L\u00fccke kompromittiert wurde. Das Ziel der urspr\u00fcnglichen Hacker waren zwar US-amerikanische Server, aber seitdem haben andere Angreifer auch die Server im \u00fcbrigen Teil der Welt \u00fcber die nun bekannten L\u00fccken angegriffen.<\/p>\n
Bei festgestellter Kompromittierung ist eine \u00dcberpr\u00fcfung der Exchange-Server und der Dom\u00e4ne erforderlich, mindestens eine Passwort\u00e4nderung aller administrativen Dom\u00e4nenkonten sowie gegebenenfalls weitere Ma\u00dfnahmen.<\/p>\n
Weitere Informationen erhalten Sie hier:
\nhttps:\/\/news.microsoft.com\/de-de\/hafnium-sicherheitsupdate-zum-schutz-vor-neuem-nationalstaatlichem-angreifer-verfuegba<\/p>\n
Wenn Sie unsere Hilfe ben\u00f6tigen, rufen Sie uns umgehend an:
\nTelefon: 02191-909404<\/p>\n","protected":false},"excerpt":{"rendered":"
Am 03.03.2021 hat Microsoft Informationen und Patches zu mehreren erheblichen Sicherheitsl\u00fccken in ihrem Exchange-Mailserver-Produkt ver\u00f6ffentlicht, die zu diesem Zeitpunkt bereits aktiv ausgenutzt wurden und durch die Ver\u00f6ffentlichung seitdem umso mehr und weiterhin ausgenutzt werden, nicht mehr nur von den urspr\u00fcnglichen Angreifern. Eine Ausnutzung der L\u00fccke f\u00fchrt zu unbeschr\u00e4nkten Systemrechten auf dem betroffenen Mailserver und kann … <\/p>\n