Am 2. März 2021 veröffentlichte Microsoft dringend ein Update für Exchange Server 2010, 2013, 2016 und 2019, um vier kritische Sicherheitslücken zu schließen.
In dem veröffentlichten Artikel sagt Microsoft, dass diese Schwachstellen weltweit gegen große Unternehmen eingesetzt werden können. Angreifer verschaffen sich Fernzugriff auf Exchange-Server und können dann kritische Daten herunterladen, darunter auch das gesamte Postfach.
Gleichzeitig gibt Microsoft zu verstehen, dass nur Dienste, die innerhalb der Infrastruktur eingesetzt werden, bedroht sind. Exchange Online ist nicht gefährdet.
Wir zeigen, was genau diese Schwachstellen sind und wie Sie sich vor Angriffen schützen können.
Angreifer verwenden oft eine Kombination der genannten CVEs. Das Ergebnis ist ein komplexer Angriff, mit dem Angreifer wichtige Daten stehlen und den Unternehmensbetrieb ernsthaft beeinträchtigen können.
Wir bieten umfassenden Schutz für Webanwendungen, Webseiten und Server. Wir schützen Ihr System auch vor komplexen Angriffen, die Schwachstellen von Microsoft Exchange Server ausnutzen.
Unser Schutz beruht auf unseren eigenen Traffic-Filtering-Centern. Alle Serveranfragen, einschließlich Anfragen an MS Exchange-Dienste, werden über unsere Plattform geleitet und ausgewertet.
Wenn das System Unregelmäßigkeiten oder verfälschte Daten feststellt, wird die Anfrage sofort blockiert. So wird verhindert, dass Angreifer in das System gelangen, bösartigen Code ausführen oder Daten herunterladen können.
1. Aktualisieren Sie alle MS Exchange-Server über alle Domains. Wenn Sie den Patch in Ihrem Unternehmen nicht umgehend installieren können, probieren Sie die von Microsoft angebotenen Workarounds aus.
2. Verhindern Sie den unbefugten Zugriff auf Exchange-Server über Port 443. Da Cyberkriminelle über genau diesen Port in Server eindringen, hilft diese Maßnahme, einen Angriff bereits im Keim zu ersticken. Sie können auch alle Verbindungen, die außerhalb des Firmennetzwerks stattfinden, verbieten.
Diese Methode hilft jedoch nur gegen neue Angriffe und ist wirkungslos, wenn die Angreifer bereits in Ihre Server eingedrungen sind.
3. Verwenden Sie das PowerShell-Skript, das Microsoft gezielt veröffentlicht hat, um nach Hinweisen zu suchen, ob Ihre Server über diese Sicherheitslücken angegriffen wurden.
Um zu prüfen, ob Angreifer Ihre Server befallen haben, müssen Sie manuell Befehle in den Exchange HTTP-Proxy-Protokollen, Exchange-Protokolldateien und Windows-Anwendungsereignisprotokollen ausführen.
Wenn Sie alle MS Exchange-Server überprüfen möchten, verwenden Sie diesen Befehl:
Get-ExchangeServer | .\Test-ProxyLogon.ps1
Sie können den lokalen Server mit dem folgenden Befehl überprüfen:
.\Test-ProxyLogon.ps1
Wenn Sie die Ergebnisse der Überprüfung speichern möchten, fügen Sie den folgenden Befehl zu den oben aufgeführten Befehlen hinzu:
-OutPath $home\desktop\logs
Wenn Sie alle Exchange-Server überprüfen und die Ergebnisse speichern möchten, würde der Befehl wie folgt aussehen:
Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs
4. Verwenden Sie das Skript nmap. Der Computersicherheitsexperte Kevin Beaumont hat es entwickelt, um gefährdete Server innerhalb Ihrer Umgebung zu finden. Das Skript wurde in Eile erstellt und ist nicht perfekt, kann aber eine geeignete Lösung in Notsituationen sein.
Wenn Sie jedoch bereits unseren Schutz aktiviert haben, müssen Sie sich keine Sorgen über neue Microsoft Exchange-Schwachstellen machen. Falls Sie ihn noch nicht aktiviert haben, ist jetzt die Zeit gekommen, ihn auszuprobieren.
Unser Schutz dient nicht nur dazu, Ihre Server vor Eindringlingen zu schützen. Ihre Infrastruktur, Webseiten und Anwendungen werden auf allen Ebenen zuverlässig gegen Bots und DDoS-Angriffe jeglicher Komplexität geschützt.
Probieren Sie unseren Schutz kostenlos aus oder starten Sie mit einer kostenlosen Beratung.