Update: NCSC warnt erneut vor verwundbaren MS-Exchange-Servern

Update vom 17.05.2022: Das Nationale Zentrum für Cybersicherheit (NCSC) muss schon wieder nachhaken. Nachdem die Behörde bereits vor drei Monaten über 130 Schweizer Organisationen per Einschreiben an ausstehende Sicherheitsupdates erinnert hatte, folgt nun die zweite Welle an Warnungen auf dem Postweg: Diesmal warnte das NCSC über 200 Unternehmen und einzelne Gemeinden mit einem eingeschriebenen Brief vor Sicherheitslücken in Microsoft-Exchange-Servern.

Die Sicherheitslücken sind schon seit über einem Jahr bekannt, entsprechende Patches stehen schon längst zum Download bereit. Dennoch gebe es nach wie vor zahlreiche verwundbare Systeme, teilt das NCSC mit.

Die Adressaten der Warnbriefe gibt das NCSC aus Sicherheitsgründen nicht bekannt. Einige der Unternehmen hätten die längst bekannten Sicherheitslücken trotz Warnungen immer noch nicht gepatcht. Es seien aber auch Unternehmen darunter, die zwar vor einiger Zeit Sicherheits-Updates eingespielt, seither jedoch keine Patches mehr installiert hätten. Diese Unternehmen seien potenziell angreifbar, da inzwischen neue Sicherheitslücken aufgetaucht seien, teilt das NCSC mit.

Die Behörde rät, Sicherheits-Patches regelmässig durchzuführen, und zwar mindestens ein Mal pro Monat. Bei kritischen Sicherheitslücken wie beispielsweise Schwachstellen, die sich aus der Ferne für die Ausführung von Schadcode ausnutzen lassen (Remote Code Execution - RCE), sollte das Einspielen der nötigen Sicherheits-Patches so rasch wie möglich, idealerweise innerhalb weniger Stunden erfolgen.

Abgesehen von den Warnungen vor Schwachstellen in Exchange-Servern hat das NCSC in der vergangenen Woche damit begonnen, Unternehmen und Behörden via Einschreiben auf kritische Verwundbarkeiten in weiteren Produkten wie beispielsweise SonicWall und F5 zu informieren.

Das NCSC muss bestimmte Unternehmen regelmässig direkt warnen, dass ihre IT verwundbar ist. Ein aktueller Fall mit entsprechenden Konsequenzen zeigt, wie fahrlässig es ist, solche Warnungen zu ignorieren.

Update vom 16.2.2022: Noch immer finden sich verwundbare Exchange-Server im Internet. Dies, obwohl Microsoft-Patches zur Behebung der Schwachstelle schon im März 2021 veröffentlicht hat. Nun erinnert das Swiss Government Computer Emergency Response Team (Govcert) per Einschreiben an die ausstehenden Sicherheitsupdates: Man habe über 130 Organisationen in der Schweiz derart über verwundbare Exchange-Server informiert, teilt die zum nationalen Zentrum für Cybersicherheit (NCSC) gehörende Abteilung per Twitter mit.

Auf Anfrage teilt das NCSC mit, dass die Briefe an kleinere und grössere Unternehmen sowie Gemeinden verschickt worden seien. Gefragt, wie die Behörde wisse, welche Firmen verwundbare Exchange-Server betreiben, verweist das NCSC auf die enge Zusammenarbeit mit internationalen Partnern. "In diesem Rahmen erhielt das NCSC Hinweise zu den noch verwundbaren Exchange-Servern."

Die meisten brieflich angeschriebenen Unternehmen habe das GovCERT vorgängig per E-Mail informiert, schreibt die Behörde auf Twitter weiter. Eingeschriebene Briefe seien aber "oft die einzige Möglichkeit, Unternehmen und Privatpersonen zuverlässig zu erreichen. E-Mails werden nicht immer zugestellt, landen im Spam oder werden ignoriert - selbst wenn signiert."

Wie das NCSC auf Anfrage weiter mitteilt, informierte die Behörde im vergangenen Jahr über 4500 Unternehmen per E-Mail über solche Verwundbarkeiten, dies sogar mehrmals. "Reagieren die Empfänger nicht, bleibt nur noch der Weg per eingeschriebenen Brief. Dies sind im Schnitt mehrere Dutzend pro Monat."

Mehr Informationen zur Sicherheitslücke und den vom NCSC empfohlenen Massnahmen finden Sie auf der Website des NCSC.

Update vom 17.03.2021: Microsoft veröffentlicht Sicherheits-Update für Exchange-Server

Als Reaktion auf die jüngsten Attacken veröffentlicht Microsoft nun ein On-Premise Mitigation Tool für Exchange Server (EOMT). Es soll es Admins ermöglichen, ihre Server in kurzer Zeit und mit wenigen Klicks vor den neuen Gefahren zu schützen und richtet sich an jene Nutzerinnen und Nutzer, die das Sicherheits-Update für Exchange-Server noch nicht durchgeführt haben.

Das Tool solle zunächst vor der Initialattacke ProxyLogon (CVE-2021-26855) schützen, wie die Entwickler in einem Blog-Beitrag mitteilen. In weiterer Folge scannt es den Exchange-Server mittels des Microsoft Safety Scanners und versucht etwaige Schäden zu reversieren. Weiter heisst es, das Tool wäre bereits auf den betroffenen Exchange-Serverversionen 2013, 2016 und 2019 getestet worden. EOMT ist auf der Github-Site von Microsoft kostenlos verfügbar.

Die Funktionsweise des On-Premises Mitigation Tools für Microsoft Exchange. (Source: Microsoft)

Microsoft betont, dass das Tool lediglich eine interimistische Lösung sei, und zwar für all jene Nutzerinnen und Nutzer, die mit dem Patching-Prozess noch nicht vertraut sind oder keinen Zugang zu Sicherheits- oder IT-Teams haben, um die nötigen Updates durchzuführen. Auf lange Sicht sei es jedoch dringend notwendig, das Sicherheits-Update für Exchange zu installieren. Die Verlässlichkeit des Tools ist indes noch nicht bekannt. Weiter könne Microsoft nicht garantieren, dass dieses auch Schutz gegen zukünftige Bedrohungen biete.

Update vom 08.03.2021: Microsoft entwickelt Erkennungstool für Schwachstellen; 5 Prozent der betroffenen User stammen aus der Schweiz

Wenige Tage nach dem Bekanntwerden der Exchange-Server-Schwachstellen hat Microsoft ein Erkennungstool für Indicators of Compromise (IOC) entwickelt. Es handelt sich dabei um ein Skript, mit dem Userinnen und User erkennen sollen, ob ihr System von den Angriffen betroffen ist. Das gab die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) bekannt.

Auf der Website der Organisation heisst es: "CISA is aware of widespread domestic and international exploitation of these vulnerabilities and strongly recommends organizations run the script—as soon as possible—to help determine whether their systems are compromised." Das Tool ist auf der Website der CISA verfügbar.

Cybersecurity-Anbieter Kaspersky weist unterdessen darauf hin, dass 4,81 Prozent der attackierten Nutzerinnen und Nutzer aus der Schweiz stammen. Seit Anfang März habe Kaspersky 1200 Angriffe wahrgenommen, welche die Schwachstellen in den Exchange-Servern ausnützten. 26,93 Prozent der Betroffenen stammen laut Kaspersky aus Deutschland, weiter seien Italien (9,00), Österreich (5,72) und die USA (4,73 Prozent) am stärksten betroffen. "Wir haben von Anfang an damit gerechnet, dass die Versuche, diese Sicherheitslücken auszunutzen, rasch zunehmen werden, und genau das sehen wir jetzt", ist der Mitteilung zu entnehmen. "Diese Angriffe sind mit einem hohen Risiko für Datendiebstahl und Ransomware-Attacken verbunden. Daher müssen Unternehmen so schnell wie möglich Schutzmassnahmen ergreifen."

Originalmeldung vom 04.03.2021: Microsoft veröffentlicht Sicherheits-Update für Exchange-Server

Der Tech-Konzern Microsoft hat am 2. März ausserplanmässige Sicherheits-Updates für Microsoft Exchange Server veröffentlicht. Man schliesse damit mehrere Schwachstellen, die bereits für gezielte Angriffe ausgenutzt werden, schreibt das Unternehmen in einem Blogbeitrag. Betroffen ist demnach Microsoft Exchange Server in den Versionen 2010, 2013, 2016 und 2019.

Gemäss Microsoft könne ein Angriff über eine ungesicherte Verbindung zum Exchange Server über Port 443 gestartet werden. Wer allerdings diesen Port absichere, sei dennoch nicht von weiteren Angriffsszenarien gefeiht, heisst es im Blogbeitrag. Microsoft empfiehlt, prioritär jene Exchange Server zu aktualisieren, die extern erreichbar sind. Letztendlich sollten jedoch alle betroffenen Exchange Server aktualisiert werden.

Auch staatliche Behörden verbreiten die Microsoft-Warnung, darunter die US-Amerikanische Cybersecurity and Infrastructure Security Agency (CISA) und das Schweizer Government Computer Emergency Response Team (Govcert). Das Internetportal "Bleeping Computer" berichtet derweil, welche Hackergruppen die Schwachstelle bereits für ihre Angriffe nutzen. Darunter sollen mehrere staatlich unterstützte Gruppierungen, namentlich aus China, sein.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehr-Strategien.