Trotz Wartung Security Lücken?
Sogar in die täglichen Alltagsnachrichten hat es eine aktuelle Security Lücke im wohl bekanntesten und verbreitetsten Mailserver-Produkt der Welt geschafft. Die Rede ist von der Software Microsoft Exchange, die aktuell Ziel von tausenden Hackerattacken weltweit ist. Aktuell spricht man von mehr als 250.000 geknackten Servern.
Eine chinesische Hackergruppe, die Microsoft Hafnium nennt, hat vor einigen Monaten eine Sicherheitslücke in allen Exchange Server Versionen (2010 - 2019) entdeckt und über diese Lücke Schadsoftware eingeschleust. Bis die Sicherheitslücke von Sicherheitsforschern gefunden wurde, verging einige Zeit und vor wenigen Tagen begann eine richtige Massen-Attacke. Es wurden wahllose Angriffe auf nahezu alle Exchange Server der Welt gestartet - die von Microsoft veröffentlichte Korrekturroutine (Hotfix) kam zu spät und so war bereits ein Großteil der Server befallen.
Was aktuell unklar ist, warum gerade jetzt so ein "Massenansturm" auf diese Sicherheitslücke losgerollt ist und ob hinter all diesen Angriffen ausschließlich Hafnium steckt. Auch der genaue Zweck der Attacken ist noch nicht eindeutig klar, da erst die eingeschleusten Programmcodes genau analysiert werden. Aktuell geht man davon aus, dass der Schadcode dazu eingeschleust wurde, um später über diesen Weg Zugriff auf den Server zu bekommen. Auch die Vermutung liegt nahe, dass Benutzernamen und Passwörter abgegriffen worden sind.
Aktuell kann man grundsätzlich davon ausgehen, dass man mit einem (auch bestens gewartetem Exchange-Server) Opfer dieser Cyber-Attacke geworden ist.
Natürlich könnte man sich bei solchen Nachrichten fragen - wozu lasse ich meine Server dann überhaupt warten und monatliche Updates einspielen, wenn ich dann erst recht Opfer einer solchen Cyber-Attacke werden kann.
Diese Massenattacke zeigt uns wieder, wie sensibel unsere hochdigitalisierte Welt mittlerweilen ist und welche Gefahren tagtäglich da draußen lauern. Neben dieser einen nicht geschlossenen Lücke, werden durch eine regelmäßige Systempflege hunderte andere Lücken rechtzeitig dicht gemacht und andere Attacken erfolgreich abgewehrt.
Weiters ist auch auf einem gewarteten System eine Auswirkungsanalyse und Schadenbegrenzung wesentlich leichter durchzuführen, als auf einem System, das keinerlei Updates installiert hat. Ein überwachtes und gewartetes System wird auch typischerweise vom Systembetreuer immer wieder auf eine neue Version migriert, so dass nicht mehr supportete Software-Versionen durch aktuelle Releases abgelöst werden. Wenn niemand die Betriebsverwantwortung trägt, verwaisen Systeme oft und die Sicherheitslücken klaffen wie offene Wunden.
Was können Sie also im aktuellen Fall tun, wenn Sie vermuten, dass Ihr Exchange Server betroffen ist?
1) Installieren Sie den Hotfix!
2) Lassen Sie einen Experten prüfen, ob Anzeigen für einen Cyber-Security Vorfall (Security Breach) vorliegen. (sperren Sie ggfs. den Zugriff auf Webmail - Port 443)
3) Veranlassen Sie, dass sämtliche Spuren des Vorfalls beseitigt werden. Im Notfall muss das System neu installiert werden.
4) Ändern Sie möglichst rasch alle Passwörter - und wir meinen wirklich ALLE! (User, Administratoren, ...)
5) Informieren Sie Ihre User über den Vorfall. Sollte jemand das Firmenpasswort zu seinem Windows User auch noch wo anders verwenden, so sollte es dort auch geändert werden!
Für weiterführende Informationen steht Ihnen das PNC Team gerne unter +43 (2956) 7001 zur Verfügung.
