UPDATE – Microsoft Exchange Sicherheitslücken: Massenhafte Angriffe auch in der Schweiz

/ Kategorie: Detect & Response
Erstellt von ISPIN CSIRT

Am 2. März veröffentlichte Microsoft Updates für vier Sicherheitslücken beim Mail- und Groupware Server Exchange. Die Schwachstellen wurden allerdings bereits zwei Monate davor von Cyberkriminellen genutzt und dienen diesen auch weiterhin als Einfallstor in die Systeme zahlreicher Unternehmen. Es gilt die höchste Warnstufe, die Bedrohungslage ist mehr als kritisch. Schützen Sie Ihr Unternehmen, kontrollieren Sie, ob Ihre Systeme bereits kompromittiert wurden und spielen Sie schnellstmöglich die Patches ein!

CSIRT - Incident Response

Hunderte Schweizer Unternehmen hat es bereits getroffen. Und die Gefahr ist noch längst nicht gebannt. Denn von den in der Schweiz genutzten Exchange Servern sind noch immer rund 2‘500 nicht ausreichend geschützt oder nicht auf bereits erfolgte Kompromittierungen kontrolliert. Dabei ist die Schweiz eines der am häufigsten angegriffenen Länder weltweit. Und: Die Zahl der Angriffe verdoppelt sich mittlerweile alle zwei bis drei Stunden.

Angreifer übernehmen volle Kontrolle über die Systeme

Als die Updates von Microsoft veröffentlicht wurden, hatten Cyberkriminelle die vier Lücken bereits entdeckt. Sie kombinieren sie und nutzen sie massenhaft aus. Mit sogenannten „ProxyLogon“ Attacken gefährden sie Netzwerke, stehlen E-Mail-Daten oder verschaffen sich die volle Kontrolle über das System, in das sie eingedrungen sind. Sie bauen Backdoors ein, die sie auf den ungeschützten Systemen installieren und zum Teil Monate später für gross angelegte Angriffe nutzen. Hinzu kommen mittlerweile auch Ransomware-Attacken, etwa „DearCry“ oder „DoejoCrypt“. Die Ransomware wird eingeschleust, es kommt zu Datenverschlüsselungen und hohen Lösegeldforderungen. Betroffene Unternehmen kämpfen mit dem Ausfall vieler Dienste oder können sogar den Regelbetrieb nicht mehr aufrechterhalten.

Hafnium, Tick, LuckyMouse, …

Zugeschrieben werden die zahlreichen Vorfälle verschiedenen Gruppen, die mit hoher Wahrscheinlichkeit von China aus operieren. Sie heissen Hafnium, Tick, LuckyMouse, Calypso, Winnti, Websiic, etc. Ihre Motive sind laut Experten einerseits die Cyberspionage und andererseits schlichtweg der finanzielle Nutzen, den sie mit Erpressungen erzielen. Einige wenige hacken wohl einfach deshalb, weil sie es können.

Alarmstufe rot

Das Deutsche Bundesamt für Sicherheit und Informationstechnik (BSI) hat angesichts der prekären Lage bereits Anfang März die „IT-Bedrohungslage rot“ ausgerufen. Denn es kursieren schon seit längerem vollständige Exploits, die gnadenlos genutzt werden, um verwundbare Server zu kapern. Bedenken Sie: Selbst wenn Ihre Server nicht mit dem öffentlichen Internet verbunden sind, könnten sich Akteure bereits in Ihrem lokalen Netzwerk befinden.

Wurden Ihre Systeme schon gekapert?

Die Kriminellen profitieren von dem langen Zeitvorsprung. Wenn Sie Exchange Server betreiben, sollten Sie diese dringend kontrollieren. Denn Sie müssen von einer bereits erfolgten Kompromittierung ausgehen, selbst wenn Sie die Patches mittlerweile eingespielt haben. Überprüfen Sie, ob Ihre Systeme schon gekapert worden sind. Beachten Sie: Die Updates schliessen zwar die Lücken. Sie beseitigen aber nicht eine bereits erfolgte Infektion. Wenn Sie Hinweise auf einen Einbruch finden, muss unbedingt sorgfältig geprüft werden, wie weit die Angreifer bereits in Ihr Netz vordringen konnten. Verhindern Sie ein IT-Security-Fiasko in Ihrem Unternehmen und werden Sie unverzüglich aktiv. 

Lesen Sie in unserem Blog „Jetzt handeln: Zero Day Sicherheitslücken bei Microsoft Exchange schliessen“ vom 08.03.2021, wie Sie feststellen können, ob sich jemand bereits Zutritt zu Ihren Systemen verschafft hat, wie Sie die Sicherheitslücken rasch schliessen können und was Sie dabei beachten sollten.

Schnell handeln, langfristig schützen

Das Patchen ist wichtig, um Angriffe zu stoppen und um danach weiteren Angriffen standhalten zu können. Wenn Sie aber bereits kompromittiert wurden, sind Abhilfemassnahmen notwendig, um langfristige bösartige Aktivitäten in Ihrer Umgebung zu vermeiden. Unser Cyber Security Incident Response Team (CSIRT) unterstützt Sie beim Pre- und Post-Patching, bei der Identifizierung anfälliger Server sowie bei der Erkennung von Indikatoren für eine Kompromittierung, bei der Untersuchung und der Behebung dieser Kompromittierungen. Wenn Sie vermuten, dass Ihr Exchange gehackt wurde, initiieren Sie Ihren Incident Response Plan. Wenn Sie keine IR-Erfahrung im Haus haben, zögern Sie nicht, sich Hilfe zu holen.

Kontaktieren Sie unser 24/7 IR-Team unter cyberdefense[at]ispin.ch oder via Incident Hotline 0848 800 017.

Nach Zero Day ist immer vor Zero Day

Wir wären nachlässig, wenn wir nicht erwähnen würden, dass Zero Day Bedrohungen nicht verschwinden werden. Experten prognostizieren sogar, dass die Zahl der Zero Day Angriffe von einem pro Woche auf einen pro Tag im Jahr 2021 ansteigen werden. Wir möchten Sie ermutigen, proaktive Massnahmen zu ergreifen, um Ihr Unternehmen zukunftssicher zu machen - die Implementierung von Überwachungs- und Warnsystemen, unveränderbarem Speicher, vertrauensfreiem Netzwerkzugang und Antivirenprogrammen der nächsten Generation - damit Sie nicht von der nächsten bösartigen Bedrohung überrascht und womöglich geschädigt werden.

Wir setzen uns dafür ein, das Cyber-Risiko Ihres Unternehmens zu reduzieren. Sprechen wir darüber.

Zusammen. Sicher.

Haben Sie bereits einen Computer Incident Response Plan oder ein CSIR Team? Wissen Sie, wie die einzelnen Phasen im Detail ausgestaltet sein sollten? Lesen Sie mehr darüber in unserem Whitepaper „Computer Security Incident Response“.
Laden Sie das Whitepaper hier kostenlos herunter. » Download

Sie setzen lieber auf kompetente und erfahrene Unterstützung bei der Entwicklung Ihres CSIR Plans? Unsere Experten stehen Ihnen zur Verfügung. Kontaktieren Sie uns – wir helfen gerne.

Kontaktieren Sie uns via marketing[at]ispin.ch oder +41 44 838 3111.

 

Notfall?

ISPIN 7/24 Incident Hotline: 0848 800 017 | cyberdefense[at]ispin.ch

Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.

Reiner Höfinger

Marketing & Communications

Kontakt

ContactKontaktNewsletterGo to top