Kritische Sicherheitslücke in MS Exchange-Servern

Am 2. März 2021 informierte Microsoft über einen weltweiten Hackerangriff, der auf Exchange-Server zielte. Gleichzeitig wurde ein Sicherheitsupdate veröffentlicht, welches vier bekannte Schwachstellen behebt, die Bedrohung aber noch nicht gänzlich tilgt. Das BSI warnt, dass auch zehntausende deutsche Exchange-Server bereits betroffen seien. Sofortiges Handeln ist notwendig!
Alle relevanten Informationen, Hintergründe und dringende Handlungsempfehlungen finden Sie hier.

Microsoft Exchange ist für einen Großteil deutscher Unternehmen von höchster Relevanz. Die Software dient der zentralen Ablage und Verwaltung von E-Mails, Terminen, Kontakten, Aufgaben und weiteren Elementen für mehrere Benutzer.
Nun wurde vor wenigen Tagen bekannt, dass Hacker eine neue Sicherheitslücke in der weit verbreiteten Mailinfrastruktur von MS Exchange ausgenutzt und einen weltweiten Angriff auf die entsprechenden Server gestartet haben. Die Bedrohungsstufe wurde, erst zum zweiten Mal überhaupt, auf die höchste Stufe „4/Rot – sehr hoch“ gesetzt. Grund hierfür ist neben der Schwere des Problems auch die hohe Anzahl potentieller Opfer. Da deutsche Unternehmen, anstelle der Cloud, gern meist Dienste wie MS Exchange lokal betreiben, sind diese vom Angriff besonders stark betroffen und müssen nun schnell handeln!

Microsoft und BSI empfehlen dringend die Installation des MS Exchange-Server Sicherheitsupdates

Die bis dato unbekannte Sicherheitslücke in der Mailinfrastruktur von MS Exchange ermöglicht es den Hackern sich externen Zugang zu E-Mails und Netzwerken von Unternehmen und sogar Bundesbehörden zu verschaffen. Von diesem Zugang aus sind die Angreifer in der Lage weiter in die Systeme vorzudringen um Daten zu entwenden und Schadsoftware einzuschleusen. Laut Microsoft seien die Exchange-Server-Versionen 2013, 2016 und 2019 betroffen.

Nach Bekanntgabe des Hackerangriffs am 2. März 2021 veröffentliche Microsoft nun ein Sicherheitsupdate um der ersten Phase des Angriffs entgegenzuwirken. Dieses sollte aber dringend professionell von Spezialisten eingespielt werden um entsprechende Sicherheit zu gewährleisten. „Bitte nehmen Sie das ernst“, warnt BSI-Präsident Arne Schönbohm.
Da der Hack in drei Angriffsphasen unterteilt wird, könnten bereits kompromittierte Server auch nach einem Patch der Firewall und Einrichten eines VPN weiterhin eine Gefahr darstellen. Nur das Update kann das Sicherheitsleck stopfen, wie Microsoft über das Microsoft Security Response Center mitteilt. Den entsprechenden Beitrag finden Sie hier.
Bei bislang noch nicht aktualisierten Systemen muss nach Angaben des BSI von einer Kompromittierung ausgegangen werden.
Aufgrund der Komplexität und geschäftskritischen Gefahr die von der Thematik ausgeht, empfehlen wir Ihnen dringend akute Maßnahmen mit den IT-Spezialisten von wikosoft zu besprechen. Wir unterstützen Sie beim Aufspielen aller relevanten Sicherheitsupdates und etwaiger Fehlerbehebung, sowie der Sicherstellung Ihrer Daten. Nehmen Sie dafür gern Kontakt mit uns auf.

Die Hintergründe des Angriffs

Verantwortlich für den Angriff soll die mutmaßlich chinesische Hacker-Gruppierung „Hafnium“ sein. Diese Gruppierung habe primär Informationen von Forschungseinrichtungen, Anwaltsfirmen, Hochschulen, und Unternehmen mit Verteidigungsaufträgen der USA abgreifen wollen. Über 30.000 Server sollen allein in den USA von dem Angriff betroffen sein. Weltweit soll bei vielen weiteren tausend Servern die mittlerweile gestopfte Sicherheitslücke ausgenutzt worden sein. Bislang ist nicht klar auf welche Daten es die Hacker abgesehen haben. Klar ist nur, dass die Angreifer Einsicht in E-Mail Verkehr, sowie Zugriff auf Unternehmensnetzwerke erhielten.

Auch in Deutschland sind zig tausende Exchange-Server vom Angriff betroffen. Über 9000 betroffene Unternehmen wurden nach eigenen Angaben (Twitter BSI) bereits postalisch vom BSI kontaktiert. Jedoch liegen nicht zu allen kleinen und mittleren Firmen, sowie Vereinen, aktuelle Daten vor. Die auf Sicherheitsprobleme spezialisierte Suchmaschine Shodan geht von bis zu 57.700 betroffenen Servern allein in Deutschland aus. Die tatsächliche Anzahl verwundbarer und bereits infizierter Systeme in Deutschland dürfte also insgesamt deutlich höher ausfallen als wie dem BSI bislang bekannt.
Wenn Ihr Unternehmen bereits von einem IT-Sicherheitsvorfall betroffen ist können Sie uns dies gern melden. Wir helfen Ihnen weiter.

Jetzt Kontakt aufnehmen!

Ob Sie die dringend notwendigen Sicherheitsupdates einspielen möchten, überprüfen wollen ob Ihr System vom Angriff betroffen ist oder weitere Maßnahmen installieren möchten, um etwaigen Angriffen standhalten zu können und ein Maximum an Sicherheit garantieren zu können: Unsere IT- und Technikspezialisten helfen Ihnen weiter in allen relevanten Schritten.

Melden Sie sich schnell und unverbindlich telefonisch oder über unser Kontaktformular.

Zum Kontakt

Unsere Servicezeiten: Mo. bis Do.: 8:00 Uhr - 17:15 Uhr, Fr. 8:00 Uhr - 14:15 Uhr Wir freuen uns auf Ihre Anfrage!

 

Alle wichtigen Links für weitere Informationen in der Übersicht: