Update: Noch immer über 2'000 ungesicherte Microsoft Exchange-Server in der Schweiz

01.12.2022 - Vor gut zwei Wochen hat das NCSC dazu aufgerufen, die von Microsoft angebotenen Sicherheits-Patches einzuspielen, um die Sicherheitslücke «ProxyNotShell» zu schliessen. Trotz der Dringlichkeit sind noch nicht alle Betreiberinnen und Betreiber der Aufforderung nachgekommen. Daher hat das NCSC über 2'000 eingeschriebene Briefe an die Betroffenen versandt und sie aufgefordert, nun schnell zu handeln.


Meldung vom 18. November 2022

18.11.2022 - Das NCSC hat Kenntnis von über 2'800 Microsoft Exchange Server in der Schweiz, welche eine kritische Verwundbarkeit namens «ProxyNotShell» aufweisen. Da diese Exchange Server ans Internet angeschlossen und von überall erreichbar sind, ist es Angreifern möglich, die Verwundbarkeit aus der Ferne auszunutzen und Code auszuführen («Remote Code Execution Vulnerability» - RCE). Angreifer können die Verwundbarkeit daher nutzen, um Microsoft Exchange Server zu kompromittieren.

Die kritische Verwundbarkeit namens «ProxyNotShell» ist seit September 2022 bekannt und wird bereits aktiv von Cyberkriminellen ausgenutzt («0day exploit»). Am Microsoft Patchday vom 8. November 2022 hat Microsoft einen entsprechenden Patch veröffentlicht, welcher die Verwundbarkeit behebt:

Microsoft Exchange Server Remote Code Execution Vulnerability («ProxyNotShell»):
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082

NCSC ruft auf, die Sicherheits-Patches einzuspielen

Obwohl der Patch bereits seit zwei Wochen verfügbar ist und aktiv Angriffe auf die Verwundbarkeit bekannt sind, wurden noch immer über 2'800 Microsoft Exchange Server in der Schweiz nicht gepatcht.

Bereits im März 2021 wurden kritische Verwundbarkeiten in Microsoft Exchange ähnlichen Ausmasses bekannt, welches das NCSC dazu veranlasste, betroffene Unternehmen per Einschreiben über die Verwundbarkeit zu informieren.

Empfohlene Massnahmen

Das NCSC empfiehlt Betreiberinnen von Microsoft Exchange Servern sicherzustellen, dass sämtliche Patches eingespielt sind. Patches von hoher Kritikalität sollten rasch möglichst, das heisst ausserhalb der ordentlichen Wartungsfenster, eingespielt werden.

  • Stellen Sie sicher, dass Sie einen aktuelle Cumulative Update (CU) mit allen entsprechen Security Updates (Nov22SU) eingespielt haben;
  • Überprüfen Sie Ihren Exchange Server mit dem HealthChecker, der von Microsoft zu Verfügung gestellt wird:
    https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/;
  • Scannen Sie Ihren Exchange Server mit einem aktuellen Virenschutz;
  • Überprüfen Sie Ihre Patch-Strategie und stellen Sie sicher, dass kritische Sicherheitsupdates auch ausserhalb von Wartungsfenster eingespielt werden.

Eigenverantwortung wahrnehmen

Unternehmen, welche bis Anfang Dezember 2022 die nötigen Sicherheitspatches nicht eingespielt haben, werden wiederum – soweit bekannt und identifizierbar - per Einschreiben durch das NCSC benachrichtigt werden. Gleichzeitig appelliert das NCSC aber auch an die Eigenverantwortung von Unternehmen und Betreiberinnen kritischer Infrastrukturen und weist nachdrücklich auf das Risiko einer Kompromittierung und der damit einhergehenden Schäden (Ransomware, Datendiebstahl) hin.

Letzte Änderung 01.12.2022

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2022/schwachstelle-proxynotshell-2.html