Update – das BSI informiert heute um 15:30 in einem Livestream zur Lage!
Livestream zum Exchange-Hack: BSI beantwortet Fragen ab 15:30 Uhr | heise online
Update 2 : Unser Security-Brunch nächste Woche wird sich natürlich mit dem Thema befassen!
Exchange-Server mit Freigabe ins Internet werden gerade aktiv von Hackergruppen (u.a. Hafnium) bearbeitet: Mehrere Sicherheitslücken ermöglichen unter Umständen Vollzugriff auf Exchange-Server und Windows-Domäne.
Die von Microsoft veröffentlichten Patches (für Exchange ab 2010) dürften zu spät gekommen sein. Auch wenn Admins die Patches schnell eingespielt haben, wurden die Lücken ziemlich sicher bereits ausgenutzt.
Ich habe einen Exchange-Server der aus dem Internet erreichbar ist (OWA, ActiveSync, o.ä.) – was soll ich tun?
Kurzform – fusic anrufen unter 0931-73040130 😉
Langform:
- Patches einspielen
- Prüfen, ob es schon Zugriffe gab :
- Wenn Ja:
- Exchange-Server zum Internet abdichten (aus wie eingehend mit Ausnahme von SMTP)
- Experten empfehlen: Neuen Exchange-Server installieren und Datenbank migrieren
- Admin-Passwörter in der Domäne ändern
- Kerberos Golden Ticket Passwort zurücksetzen
- Domänenserver auf Malware prüfen
- Datenschutzbeauftrage ansprechen: Der Vorfall ist meldepflichtig!
Okay, das ist eigentlich immer noch die Kurzform. Im Moment lässt sich noch nicht überblicken, welche Folgeschäden entstehen (könnten). Die Sicherheitslücken wurden nicht nur von einer Hackergruppe ausgenutzt und oft werden gehackte Systeme an Zweitverwerter weiterverkauft. Es ist also durchaus in ein paar Wochen mit einer Verschlüsselungswelle bei betoffenen Systemen zu rechnen.
Hier gibt es weitere Informationen:
Dokumentation des BayLDA:
https://www.lda.bayern.de/de/thema_exchange_sicherheitsluecke.html
https://www.lda.bayern.de/media/pm/pm2021_01.pdf
https://www.lda.bayern.de/media/checkliste/baylda_checkliste_patch_mgmt.pdf
Dokumentation Microsoft:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
Dokumentation des BSI: