Schwachstelle bei Exchange-Servern

12.03.2021 - In den letzten Tagen gab es zahlreiche Medienberichte über verschiedene Verwundbarkeiten in Microsoft Exchange-Servern. Das NCSC geht davon aus, dass in der Schweiz mehrere hundert Systeme von der Schwachstelle betroffen sind. Cyberkriminelle haben nun damit begonnen, zuvor kompromittierte Microsoft Exchange-Server mit einer neuen Ransomware namens «DoejoCrypt» zu verschlüsseln. Wir empfehlen Betreibern von Exchange Servern dringend, diese zu patchen und auf Infektionen zu prüfen!

In den letzten Tagen gab es zahlreiche Medienberichte über verschiedene Verwundbarkeiten in Microsoft Exchange-Servern, die unter den folgenden Referenzen erfasst wurden:

CVE-2021-26855
CVE-2021-26857
CVE-2021-26858
CVE-2021-27065

Das NCSC hat bisher nur wenige Meldungen zu infizierten Servern erhalten, geht jedoch davon aus, dass mehrere hundert Systeme von der Schwachstelle betroffen sind. Bei den Systemen der Bundesverwaltung wurde das Einspielen der Patches frühzeitig begonnen und ist abgeschlossen.

Microsoft vermutet hinter der Täterschaft eine chinesische Gruppe namens «HAFNIUM». Jedoch haben verschiedene weitere Akteure ebenfalls versucht, die Sicherheitslücken auszunutzen, kurz nachdem diese am 2. März 2021 von Microsoft publik gemacht worden war.

Seit der Publikation der Sicherheitslücke durch Microsoft haben die Infektionen stark zugenommen. 

Das NCSC hat die Öffentlichkeit über Twitter am 2. März 2021 und über die NCSC-Website informiert und dazu aufgefordert, die von Microsoft zur Verfügung gestellten Patches umgehend einzuspielen. Die Information für Betreiber kritischer Infrastrukturen in der Schweiz erfolgte über ein spezielles Portal. Zu beachten ist, dass die oben genannten Schwachstellen nicht nur Exchange-Server betreffen, die OWA (Outlook Web Access) im Internet bereitstellen, sondern auch Server, die andere Dienste mit «https://» bereitstellen (z.B. Active Sync oder Unified Messaging, das Offline Adressbuch OAB usw.).

Zurzeit sammelt das NCSC weitere Informationen über die Schwachstellen und betroffene Organisationen in der Schweiz und stellt sie diesen zur Verfügung.

Wenn Sie eine solche Information durch das NCSC erhalten oder sicherstellen wollen, dass Sie nicht betroffen sind, empfiehlt das NCSC die untenstehende Vorgehensweise. Sollten Sie nicht über die dafür notwendigen Fachkenntnisse verfügen, empfiehlt das NCSC dringend den Beizug externer Spezialisten.

Stellen Sie sicher, dass die Patches eingespielt sind

Klären Sie, ob Ihre Server immer noch angreifbar sind oder ob die Einspielung der Microsoft-Patches erfolgreich vorgenommen worden ist. Microsoft stellt Anleitungen zum Einspielen der Patches zur Verfügung. Ausserordentlich sind auch Patches für ältere Server, die den Status «End of Life» erreicht haben, verfügbar (Link). Bitte beachten Sie aber unbedingt, dass Exchange 2007 und 2010 trotz der Verfügbarkeit der Patches den Status «End of Life» erreicht haben und unbedingt zeitnah durch neuere Produkte ersetzt werden müssen.

Eine detaillierte Beschreibung weiterer technischer Massnahmen finden Sie auf der Website der technischen Abteilung des NCSC in englischer Sprache: https://www.govcert.ch/blog/exchange-vulnerability-2021/

Allgemeine Empfehlungen

Zum besseren Schutz von Exchange-Server -Infrastrukturen empfiehlt das NCSC generell die Implementierung folgender Sicherheitsvorkehrungen:

  • Exchange-Server dürfen nicht direkt aus dem Internet erreichbar sein. Schalten Sie entweder eine WAF (Web Application Firewall) vor oder setzen Sie einen SMTP-Filtering-Proxy vor den Exchange Server.
  • Erstellen Sie einen Prozess zur notfallmässigen Einspielung von Sicherheitsupdates und stellen Sie sicher, dass Updates innerhalb weniger Stunden eingespielt werden können. Dies gilt in erster Linie für alle Systeme, die direkt vom Internet aus erreichbar sind.
  • Überwachen Sie alle Exchange-Server Logfiles genau, sammeln Sie diese in einem SIEM (Security Information and Event Management) und durchsuchen Sie diese nach unüblichen Mustern.
  • Richten Sie auf allen Systemen eine Zwei-Faktoren-Authentisierung für sämtliche User ein.
  • Verwenden Sie ein dediziertes Management Framework für den Zugriff auf Exchange-Server mit hohen Privilegien.
  • Zeichnen Sie alle AD-Logs zentral auf und analysieren Sie diese regelmässig.
  • Erhöhen Sie die Sichtbarkeit Ihrer Endpunkte durch Einsatz eines EDR-Tools (Endpoint Detection and Response).

Letzte Änderung 15.03.2021

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/news/news-aktuell/exchange-server.html