cyber security lock

Update – das BSI informiert heute um 15:30 in einem Livestream zur Lage!

Livestream zum Exchange-Hack: BSI beantwortet Fragen ab 15:30 Uhr | heise online

Update 2 : Unser Security-Brunch nächste Woche wird sich natürlich mit dem Thema befassen!

Exchange-Server mit Freigabe ins Internet werden gerade aktiv von Hackergruppen (u.a. Hafnium) bearbeitet: Mehrere Sicherheitslücken ermöglichen unter Umständen Vollzugriff auf Exchange-Server und Windows-Domäne.

Die von Microsoft veröffentlichten Patches (für Exchange ab 2010) dürften zu spät gekommen sein. Auch wenn Admins die Patches schnell eingespielt haben, wurden die Lücken ziemlich sicher bereits ausgenutzt.

Ich habe einen Exchange-Server der aus dem Internet erreichbar ist (OWA, ActiveSync, o.ä.) – was soll ich tun?

Kurzform – fusic anrufen unter 0931-73040130 😉

Langform:

  1. Patches einspielen
    1. Released: March 2021 Exchange Server Security Updates – Microsoft Tech Community
  2. Prüfen, ob es schon Zugriffe gab :
    1. Microsoft Exchange Server Vulnerabilities Mitigations – Microsoft Security Response Center
  3. Wenn Ja:
    1. Exchange-Server zum Internet abdichten (aus wie eingehend mit Ausnahme von SMTP)
    2. Experten empfehlen: Neuen Exchange-Server installieren und Datenbank migrieren
    3. Admin-Passwörter in der Domäne ändern
    4. Kerberos Golden Ticket Passwort zurücksetzen
      1. AD Forest Recovery – Resetting the krbtgt password | Microsoft Docs
    5. Domänenserver auf Malware prüfen
    6. Datenschutzbeauftrage ansprechen: Der Vorfall ist meldepflichtig!

Okay, das ist eigentlich immer noch die Kurzform. Im Moment lässt sich noch nicht überblicken, welche Folgeschäden entstehen (könnten). Die Sicherheitslücken wurden nicht nur von einer Hackergruppe ausgenutzt und oft werden gehackte Systeme an Zweitverwerter weiterverkauft. Es ist also durchaus in ein paar Wochen mit einer Verschlüsselungswelle bei betoffenen Systemen zu rechnen.

Hier gibt es weitere Informationen:

Dokumentation des BayLDA:

https://www.lda.bayern.de/de/thema_exchange_sicherheitsluecke.html

https://www.lda.bayern.de/media/pm/pm2021_01.pdf

https://www.lda.bayern.de/media/checkliste/baylda_checkliste_patch_mgmt.pdf

Dokumentation Microsoft:

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

Dokumentation des BSI:

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132.pdf?__blob=publicationFile&v=8

https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/210305_Exchange-Schwachstelle.html