Durch eine aktuelle Sicherheitslücke wurden laut einem Beitrag des NCSC (Nationales Zentrum für Cybersicherheit) in der Schweiz vermutlich mehrere hundert Exchange Server kompromittiert. Microsoft vermutet, dass ein Grossteil der Angriffe durch eine chinesische Hackergruppe namens HAFNIUM durchgeführt wurden. Der Zero-Day-Exploit wurde von Microsoft selbst aufgedeckt und der notwendige Patch für die Schliessung der Lücke bereits veröffentlicht.
Jedoch haben viele Schweizer Unternehmen, welche Exchange Server der Versionen 2010 bis 2019 nutzen, diese Patches noch nicht implementiert. Der Exploit bezieht sich dabei nicht nur auf Server, welche einen OWA (Outlook Web Access) eingerichtet haben, sondern auch auf solche, welche https-verschlüsselte Komponenten, ActiveSync, Unified Messaging, Offline Adressbücher oder ähnliches eingerichtet haben. Die Hackergruppe HAFNIUM agiert hauptsächlich in den USA, jedoch sind von dieser chinesischen Hackergruppe nachweislich auch Angriffe auf Schweizer Exchange Server verübt worden.
Durch die Schwachstelle können HAFNIUM und andere Hackerorganisationen, die den Exploit ausnutzen, auf den Exchange Server zugreifen, Daten manipulieren, den Server lahmlegen, Malware wie Ransomware oder Trojaner einschleusen oder sogar E-Mails im Namen von Mitarbeitenden versenden.
Konsolidieren und Kosten sparen mit unserem kostenlosen IT Wegweiser
Wir bieten Ihnen einen massgeschneiderten IT Wegweiser, analysieren Ihre Unternehmensstruktur und entwickeln individuelle IT Lösungen
zur Steigerung Ihrer Effizienz – unterstützt durch unsere langjährige Expertise.
Das NCSC ruft zu dem sofortigen Patchen der Schwachstelle auf. Alle Einzelheiten zum Patch finden Sie unter folgendem Link: https://www.govcert.admin.ch/blog/exchange-vulnerability-2021/.
Gerne helfen wir Ihnen, den Patch auf Ihrem Exchange Server zu implementieren. Jedoch kann auch nach dem Patchen noch die Gefahr einer Kompromittierung bestehen. Falls Ihr Exchange Server bereits angegriffen wurde, können Daten manipuliert worden sein. Es können sich Malware wie Trojaner oder Ransomware auf dem Server befinden oder Hintertüren für künftige Cyberattacken installiert worden sein. Daher ist eine sofortige Prüfung Ihres Systems dringend nötig.
Sophos Managed Threat Response schützt Sie vor solchen Sicherheitslücken
Sophos, ein Partner von Entec im Bereich IT Security, hat ihr Security Team darauf spezialisiert, durch HAFNIUM ausgelöste Aktivitäten zu überwachen und die Erkennungsmerkmale in ihrer Managed Threat Response (MTR) Antimalware-Software einzubauen. Das System überwacht die Infrastruktur rund um die Uhr und erkennt jede Aktivität im Netzwerk. So können verdächtige Aktivitäten von Sophos MTR sofort erkannt und beseitigt werden. Das Sophos MTR Team arbeitet 24/7 daran, neue Zero-Day-Exploits zu entdecken und unschädlich zu machen. Um Ihr System vor aktuellen und zukünftigen Angriffen sowie vor Verschlüsselungen oder Datenmanipulationen zu schützen, empfehlen wir Ihnen, Sophos MTR zu aktivieren und Ihr System mit einem neutralen IT-Forensik-Spezialisten intensiv zu prüfen und zu überwachen.
Falls Sie Fragen zur HAFNIUM Sicherheitslücke oder den damit verbundenen möglichen Folgen haben, stehe ich Ihnen gerne zur Verfügung. Gerne unterstütze ich Sie auch beim Einspielen des Patches, der Aktivierung von Sophos MTR oder bei der Sicherheitsprüfung durch einen neutralen Spezialisten.
