NAVIGATION
Supportportal

Alarmstufe Rot bei MS Exchange

Wir sind die Experten Ihrer IT-Services

Kontakt

Jetzt über Alternativen nachdenken 

Bereits vor einigen Wochen hat Microsoft erstmals eine Datenpanne auf lokal eingesetzten Microsoft Exchange Servern bestätigt. Angreifer waren in der Lage, Administratorenrechte auf den betroffenen Servern zu erlangen und damit Zugang zu Benutzer-E-Mails und Passwörtern sowie zu den angeschlossenen Geräten im selben Netzwerk zu haben. In diesem Zusammenhang wurden auch eine Reihe anderer Enthüllungen publik.

Hintergründe zum Microsoft Exchange Server-Hack

Am 5. Januar 2021 meldete ein Mitarbeiter des Sicherheitstestunternehmens DEVCORE die erste bekannte Schwachstelle an Microsoft. Dies wurde dann von Microsoft am 8. Januar bestätigt. Im selben Monat wurden mehrere Einbrüche in lokale Microsoft Exchange Server von unterschiedlichen Betroffenen entdeckt, die alle Microsoft alarmierten.

Um den 26. und 27. Februar herum begannen Angreifer damit, Microsoft Exchange Server massenhaft zu scannen, um eine Backdoor zu finden. Dies geschah offenbar vor allem in Erwartung eines Patches von Microsoft.

Am 2. März veröffentlichte Microsoft Updates zum Patchen von vier Zero-Day-Schwachstellen in der Code-Basis von Microsoft Exchange Server und schrieb diese mit hoher Wahrscheinlichkeit einer bekannten Hackergruppe zu. Später wurden weitere Hackergruppen in Verbindung gebracht.

Am 5. März verbreitete ein bekannter Cybersecurity-Journalist die Nachricht, dass mindestens 30.000 Organisationen in den USA und Tausende weltweit Backdoors installiert haben. Sicherheitsexperten bemühten sich, die Opfer zu benachrichtigen, und betonten gleichzeitig, dass sie sich auf eine weitere Angriffsserie aufgrund bereits installierter Backdoors auf betroffenen Servern vorbereiten.

Am 12. März 2021 twitterte Microsoft, dass immer noch 82.000 ungepatchte Microsoft Exchange-Server gefährdet sind. Da rechtzeitig kein Update durchgeführt worden war, wurden viele dieser Server weiterhin angegriffen. Außerdem kam es bereits zum Einsatz unterschiedlicher Ransomware von Angreifern auf bereits infizierten Servern.

Am 22. März kündigte Microsoft an, dass bei 92% der lokal eingesetzten Microsoft Exchange Server die Schwachstelle entweder gepatcht oder zumindest entschärft worden sei.

Am 12. April hat die CISA zwei neue Malware Analysis Reports (MARs) zum Alert AA21-062A: Mitigate Microsoft Exchange Server Vulnerabilities hinzugefügt. Microsoft entschärfte weitere damit verbundene Probleme im Sicherheitsupdate vom April 2021.

Da die Angreifer vier verschiedene Zero-Day-Exploits nutzten und diese miteinander verketteten, um Administratorenzugriff auf den betroffenen Servern zu erlangen, waren sie in der Lage, Backdoors zu installieren. Es ist daher für jeden Administrator eines On-Premise Microsoft Exchange Servers sehr wichtig, nicht nur Patches zu installieren, sondern auch alle identifizierten Exploits oder Schwachstellen zu beheben (unter Verwendung bekannter Richtlinien von Microsoft und anderen unabhängigen IoCs).

Ende September haben Sicherheitsforscher einen Designfehler in einer Funktion des Microsoft Exchange-Servers entdeckt, der dazu missbraucht werden kann, Windows-Domänen- und Anwendungsanmeldeinformationen von Nutzern zu sammeln. Microsoft prüft nun den Fall.

Der von der Sicherheitsfirma Guardicore entdeckte Fehler befindet sich im Microsoft Autodiscover-Protokoll. Das ist eine Funktion der Exchange-E-Mail-Server, die es den E-Mail-Clients ermöglicht, E-Mail-Server automatisch zu erkennen, Anmeldedaten zu übermitteln und dann die richtigen Konfigurationen zu erhalten. Nun besteht aber ein Bug oder besser gesagt ein sogenannter Designfehler in Autodiscover, der dazu verwendet werden kann, Anmeldeinformationen an Unbefugte weiterzugeben.

 

Aufgrund der großen Verbreitung der Microsoft-Produkte stehen diese auch meist im Fokus von Angreifern. So werden zum Beispiel  explizit Exchange-Server nach offenen CVE Exploits gescannt, um mit wenig Aufwand Firmen zu kompromittieren.

Es muss nicht immer Microsoft Exchange sein

Microsoft Exchange ist eine der am weitesten verbreiteten Collaboration-Software und findet in zahlreichen deutschen Unternehmen Anwendung. In den letzten Jahren wurden die zahlreichen Alternativen zu diesem Dienst von Microsoft jedoch immer beliebter. Für viele Unternehmen verspricht die Verwendung einer Exchange Alternative sogar wesentlich mehr Vorteile als die Verwendung von Exchange selbst, insbesondere auf Grund der vergangenen Vorfälle.

Die Alternative: MicroFocus GroupWise

GroupWise gibt Mitarbeitern zuverlässige Tools für E-Mail und Kalender sowie Aufgaben- und Kontaktverwaltung an die Hand, wo auch immer sie sich gerade aufhalten. Das Gleiche gilt für Administratoren, die unter anderem dank einer übersichtlichen, webbasierten Verwaltungskonsole unterwegs das System überwachen, verwalten und ggf. aktiv eingreifen können.

Für die moderne Organisation entwickelt

GroupWise bietet die gewohnten E-Mail-, Kalender- und Kontaktverwaltungsfunktionen unter Berücksichtigung der Dynamik des modernen Unternehmens. Die Oberfläche ist reaktionsschnell und wird dynamisch angepasst, um Informationen bereitzustellen, wann, wo und wie Sie sie benötigen. Am wichtigsten ist jedoch, dass Ihre E-Mails und Geschäftsinformationen fest unter der Kontrolle Ihrer IT-Abteilung bleiben.

Sollte ein Wechsel des Anbieters für Sie nicht in Frage kommen, helfen wir Ihnen auch gerne die Lücken im Exchangeserver zu schließen und bieten Ihnen Technologien an zukünftig solchen Angriffen nicht mehr ausgesetzt zu sein.

Bei weiteren Fragen, auch  zu GroupWise, kontaktieren Sie uns gerne über das Formular oder rufen Sie uns an.