Exchange-Server - sind die Sicherheitsupdates wirklich, wirklich alle installiert?
Dem LSI liegen Informationen vor, dass in Bayern immer noch ungenügend gepatchte Exchange-Server betrieben werden, die aus dem Internet erreichbar sind. Wirklich zahlreiche Sicherheitsvorfälle zeigen mehr als deutlich die große Gefahr, die dadurch für das gesamte Netzwerk in der jeweiligen Institution entsteht.
Worum geht es?
Microsoft hat Anfang März 2021 außerplanmäßige Patches für Exchange veröffentlicht, um vier extrem kritische Schwachstellen zu schließen (sogenannter Hafnium-Patch). In der Folgezeit wurden von Microsoft weitere Patches für kritische Exchange-Sicherheitslücken veröffentlicht.
Ungepatchte Exchange-Server werden aus dem Internet gezielt angegriffen, über die Schwachstellen E-Mails abgegriffen und Schadsoftware installiert.
In Folge dessen muss mindestens von einer Kompromittierung des Exchange Servers ausgegangen werden. Da Exchange und das Active Directory sehr eng miteinander verflochten sind, können Angreifer über nachgeladenen Schadcode relevante Server und Dienste wie Active Directory, Datenbanken und Backup unter ihre Kontrolle bringen. Damit droht eine Kompromittierung der gesamten Systemlandschaft und ein umfassender Datenabfluss. Abschließend erfolgt in der Regel eine Verschlüsselung der Systeme durch Ransomware oder die Installation sogenannter Kryptominer.
Von Ransomware verschlüsselte Systeme müssen komplett neu aufgesetzt werden. Die Täter bieten gegen hohes Lösegeld eine Entschlüsselungsmöglichkeit an und drohen bei Nichtzahlung meistens mit einem Verkauf bzw. der Veröffentlichung der abgegriffenen Daten. Mit Kryptominern werden gerade auf leistungsfähigen Servern mit hoher CPU-Last auf Kosten des Opfers digitale Währungen erzeugt und diese von den Tätern abgegriffen.
Das LSI ruft daher erneut dringend dazu auf, alle Systeme stets aktuell zu halten.
Neben den etablierten Informationssicherheits-Managementsystemen (ISMS) bietet auch das LSI-Info "T#08 Patchmanagement" eine
Orientierung:
https://www.lsi.bayern.de/kommunen/index.html
bzw.
https://www.lsi.bayern.de/mam/aktuelles/lsi-info_t08_patchmanagement.pdf
Jeden zweiten Dienstag im Monat - dem sogenannten Patchday - veröffentlicht Microsoft regelmäßig Patches. Gerade zentrale Serversysteme wie Exchange sollten damit umgehend aktualisiert werden.
Zentrale Systeme wie Exchange mit OWA bzw. ActiveSync sollten möglichst nicht direkt aus dem Internet erreichbar sein. Das LSI empfiehlt den Zugriff auf VPN oder eine andere vorgeschaltete Authentisierung wie einen Reverse Proxy zu beschränken.
Das BSI hat ebenfalls zu Exchange-Schwachstellen informiert: