Hero Banner

Allgemeine Updates

Reply
Sydney
Moderator

Microsoft Exchange Sicherheitsupdate zum Schutz vor neuen nationalstaatlichen Attacken verfügbar

Liebe Partner, wir haben heute mehrere Sicherheitsupdates für Microsoft Exchange Server veröffentlicht. Die Updates schützen unsere Kunden und Partner und schließen Sicherheitslücken, die in einigen Fällen für gezielte Attacken genutzt worden sind. Ein neuer, staatlich unterstützter Bedrohungsakteur, den wir Hafnium nennen, wurde vom Microsoft Threat Intelligence Center (MSTIC) identifiziert. Hafnium operiert aus China heraus und ist ein sehr versierter und hochentwickelter Akteur.

 

Aktuell betroffen von der Schwachstelle sind die lokalen Exchange Server 2010, 2013, 2016 und 2019. Exchange Online ist nicht beeinträchtigt.

 

Um das Sicherheitsrisiko zu minimieren, empfehlen wir euch, unverzüglich die Patches für alle lokalen Exchange-Umgebungen zu installieren, die ihr besitzt und für eure Kunden verwaltet sowie eure Kunden über die erforderlichen Schritte zu informieren. An erster Stelle stehen dabei Server, die vom Internet aus zugänglich sind (z.B. Server, die Outlook im Web/OWA und ECP veröffentlichen).

Um diese Schwachstellen zu beheben, solltet ihr auf die neuesten Exchange Cumulative Updates wechseln und dann die entsprechenden Sicherheitsupdates auf jedem Exchange Server installieren.

 

  • Ihr könnt dafür das Skript „Exchange Server Health Checker“ nutzen, das ihr von GitHub herunterladen könnt (verwendet bitte die neueste Version).
  • Sobald ihr dieses Skript ausführt, könnt ihr feststellen, ob ihr mit den Updates für euren lokalen Exchange Server im Verzug seid (beachtet bitte, dass das Skript Exchange Server 2010 nicht unterstützt).
  • Außerdem der Hinweis, dass euer IT-Team mit den hier genannten Hinweisen prüfen sollte, ob euer System möglicherweise angegriffen wurde.

Wir entschuldigen uns für die Unannehmlichkeiten und versichern euch, dass wir mit Hochdruck an der Lösung der Sicherheitsprobleme arbeiten.

 

Weitere Informationen: „Hafnium: Microsoft Exchange Sicherheitsupdate zum Schutz vor neuen nationalstaatlichen Attacken verfügbar“.

Antworten auf mögliche Fragen: Released: March 2021 Exchange Server Security Updates - Microsoft Tech Community

 

Danke für eure Mithilfe auch mit Blick auf unsere gemeinsamen Kunden!

 

Sydney

5 REPLIES 5
Sydney
Moderator

Liebe Partner, wie ihr hier schon lesen konntet, haben wir gestern mehrere Sicherheitsupdates für Microsoft Exchange Server veröffentlicht. Die Updates schließen Sicherheitslücken, die in einigen Fällen für gezielte Attacken genutzt wurden. Dabei handelt es sich um einen neuen staatlich unterstützten Bedrohungsakteur, der vom Microsoft Threat Intelligence Center (MSTIC) identifiziert wurde und den wir Hafnium nennen. Hafnium operiert aus China und ist ein sehr versierter und hochentwickelter Akteur. Aktuell betroffen von der Schwachstelle sind die lokalen Exchange Server 2010, 2013, 2016 und 2019. Exchange Online ist nicht beeinträchtigt.

 

Um das Sicherheitsrisiko zu minimieren, empfehlen wir, unverzüglich die folgenden drei Schritte für euer Unternehmen selbst sowie eure Kunden durchzuführen.

 

Schritt 1: Patches für Exchange-Umgebungen installieren:

Um die Schwachstellen zu beheben, solltet ihr auf die neuesten Exchange Cumulative Updates wechseln und dann die entsprechenden Sicherheitsupdates auf jedem Exchange Server installieren. Ihr könnt das Skript „Exchange Server Health Checker“ nutzen, das ihr von GitHub herunterladen könnt (verwendet bitte die neueste Version). Sobald ihr dieses Skript ausführt, könnt ihr feststellen, ob ihr mit den Updates für euren lokalen Exchange Server im Verzug seid (beachtet bitte, dass das Skript Exchange Server 2010 nicht unterstützt).

 

Schritt 2: Hinweise suchen, die auf einen erfolgten Angriff schließen könnten (Indicators of Compromise)

Nach der erfolgreichen Aktualisierung aller Server empfehlen wir nachdrücklich, nach sogenannten Indicators of Compromise (IOCs) zu suchen, um auszuschließen, dass die Systeme kompromittiert worden sind. In diesem Artikel haben wir entsprechende Informationen zusammengefasst, die SOCs und Security-Verantwortlichen dabei helfen sollen, proaktiv nach verdächtigen Aktivitäten in ihrer Umgebung zu suchen. Dort findet ihr auch die Indicators of Compromise (IOCs), Erkennungsrichtlinien und erweiterte Suchanfragen, mit denen ihr diese Aktivität mithilfe von Exchange-Serverprotokollen, Azure Sentinel, Microsoft Defender für Endpoint und Microsoft 365 Defender untersuchen könnt. Bitte führt alle dort genannten Schritte aus. Weitere Informationen und Handlungsempfehlungen sind in dem Artikel verlinkt.

 

Schritt 3: False Positives ausschließen

Sollte der Scan der Exchange-Protokolldateien für Kompromissindikatoren (Indicators of Compromise) positive Ergebnisse zeigen, meldet euch gerne hier im Kommentar, wir teilen dann weitere Ressourcen mit euch. 

 

Weitere Ressourcen zu den Microsoft Exchange Sicherheitsupdates findet ihr hier:

 

Sollten ihr aktiv auf eure Kunden zugehen wollen, haben wir euch zudem unten eine Email-Vorlage eingefügt. Bei Fragen meldet euch gerne jederzeit!
----- 

Betreff: Nächste Schritte nach dem Update der Exchange Server

 

Sehr geehrte*r [NAME EINFÜGEN],

 

wie Sie vermutlich gehört haben, hat Microsoft gestern mehrere Sicherheitsupdates für Microsoft Exchange Server veröffentlicht. Die Updates schließen Sicherheitslücken, die in einigen Fällen für gezielte Attacken genutzt wurden. Dabei handelt es sich um einen neuen staatlich unterstützten Bedrohungsakteur, der vom Microsoft Threat Intelligence Center (MSTIC) identifiziert wurde und Hafnium genannt wird. Hafnium operiert aus China und ist ein sehr versierter und hochentwickelter Akteur.

 

Aktuell betroffen von der Schwachstelle sind die lokalen Exchange Server 2010, 2013, 2016 und 2019. Exchange Online ist nicht beeinträchtigt. Um das Sicherheitsrisiko zu minimieren, empfehlen wir, unverzüglich die folgenden drei Schritte durchzuführen:

 

Patches für Exchange-Umgebungen installieren:

Um die Schwachstellen zu beheben, sollten Sie auf die neuesten Exchange Cumulative Updates wechseln und dann die entsprechenden Sicherheitsupdates auf jedem Exchange Server installieren. Sie können das Skript „Exchange Server Health Checker“ nutzen, das Sie von GitHub herunterladen können (verwenden Sie bitte die neueste Version). Sobald Sie dieses Skript ausführen, können Sie feststellen, ob Sie mit den Updates für Ihren lokalen Exchange Server im Verzug sind (beachten Sie, dass das Skript Exchange Server 2010 nicht unterstützt).

 

Suche nach den Indicators of Compromise

In diesem Artikel hat Microsoft Informationen zusammengefasst, die SOCs und Security Verantwortlichen dabei helfen sollen, proaktiv nach verdächtigen Aktivitäten in ihrer Umgebung zu suchen. Dort finden Sie auch die Indicators of Compromise (IOCs), Erkennungsrichtlinien und erweiterte Suchanfragen, mit denen Sie diese Aktivität mithilfe von Exchange-Serverprotokollen, Azure Sentinel, Microsoft Defender für Endpoint und Microsoft 365 Defender untersuchen können. Bitte führen Sie alle dort genannten Schritte aus. Weitere Informationen und Handlungsempfehlungen sind im Artikel verlinkt.

 

Indicators of Compromise zeigen positive Ergebnisse?

Wenn der Scan der Exchange-Protokolldateien für Kompromissindikatoren (Indicators of Compromise) positive Ergebnisse zeigt, können Sie sich gerne an uns wenden. 

 

Sollten Sie weitere Rückfragen dazu haben stehen wir Ihnen gerne zur Verfügung.

 

Mit freundlichen Grüßen

[SIGNATUR EINFÜGEN]

Sydney
Moderator

Liebe Partner, hier findet ihr noch mal eine erweitere Sammlung der Ressourcen zum Microsoft Exchange Sicherheitsupdate. Bitte kontaktiert dazu auch eure Kunden, sofern ihr dies noch nicht getan habt. Alle Informationen im Überblick sowie eine Customer-ready Email-Vorlage findet ihr in der Email anbei. Bei Fragen meldet euch gerne jederzeit! Vielen Dank für eure Mithilfe! 

Sydney
Moderator

Liebe Partner, in den vergangenen Wochen haben Microsoft und andere in der Sicherheitsbranche gesehen, dass es zu einer Zunahme von Angriffen auf lokale Exchange Server kam. Das Ziel dieser Angriffe ist ein Typ von E-Mail-Servern, der am häufigsten von kleinen und mittleren Unternehmen verwendet wird, doch auch größere Organisationen mit lokalen Exchange Servern sind betroffen. Exchange Online ist für diese Angriffe nicht anfällig.

 

Während es sich zunächst um einen nationalstaatlichen Angriff handelte, werden die Schwachstellen nun auch von anderen kriminellen Organisationen ausgenutzt, einschließlich neuer Ransomware-Angriffe, die das Potenzial für weitere schädliche Aktivitäten haben.

 

Dies ist ein breit angelegter Angriff von solcher Schwere, dass der Schutz der Systeme entscheidend ist. Microsoft stellt zwar regelmäßig Tools für Software-Updates zur Verfügung, aber diese außergewöhnliche Situation erfordert einen verschärften Ansatz. Zusätzlich zu unseren üblichen Software-Updates stellen wir auch spezielle Updates für ältere Software, deren Support eigentlich bereits endete, zur Verfügung.

 

In diesem heute veröffentlichten Blogpost findet ihr alle aktuellen Informationen dazu: Schutz von lokalen Exchange Servern vor den aktuellen Angriffen

 

Um das Sicherheitsrisiko zu minimieren, empfehlen wir euch weiterhin nachdrücklich, die folgenden drei Schritte für euer Unternehmen selbst sowie eure Kunden unverzüglich durchzuführen.

 

Schritt 1: Patches für Exchange-Umgebungen installieren:

Um die Schwachstellen zu beheben, solltet ihr auf die neuesten Exchange Cumulative Updates wechseln und dann die entsprechenden Sicherheitsupdates auf jedem Exchange Server installieren. Ihr könnt das Skript „Exchange Server Health Checker“ nutzen, das ihr von GitHub herunterladen könnt (verwendet bitte die neueste Version). Sobald ihr dieses Skript ausführt, könnt ihr feststellen, ob ihr mit den Updates für euren lokalen Exchange Server im Verzug seid (beachtet bitte, dass das Skript Exchange Server 2010 nicht unterstützt).

 

Schritt 2: Hinweise suchen, die auf einen erfolgten Angriff schließen könnten (Indicators of Compromise)

Nach der erfolgreichen Aktualisierung aller Server empfehlen wir nachdrücklich, nach sogenannten Indicators of Compromise (IOCs) zu suchen, um auszuschließen, dass die Systeme kompromittiert worden sind. In diesem Artikel haben wir entsprechende Informationen zusammengefasst, die SOCs und Security-Verantwortlichen dabei helfen sollen, proaktiv nach verdächtigen Aktivitäten in ihrer Umgebung zu suchen. Dort findet ihr auch die Indicators of Compromise (IOCs), Erkennungsrichtlinien und erweiterte Suchanfragen, mit denen ihr diese Aktivität mithilfe von Exchange-Serverprotokollen, Azure Sentinel, Microsoft Defender für Endpoint und Microsoft 365 Defender untersuchen könnt. Bitte führt alle dort genannten Schritte aus. Weitere Informationen und Handlungsempfehlungen sind in dem Artikel verlinkt.

 

Schritt 3: False Positives ausschließen

Sollte der Scan der Exchange-Protokolldateien für Kompromissindikatoren (Indicators of Compromise) positive Ergebnisse zeigen, meldet euch gerne hier im Kommentar, wir teilen dann weitere Ressourcen mit euch. 

 

Im folgenden findet ihr eine Sammlung an Ressourcen, die euch bei diesen Schritten weiterhelfen:

 

Für weitere Unterstützung stellen wir euch hier eine Liste unserer auf Security und Identity spezialisierten Partner zur Verfügung:

 

Bei Fragen meldet euch gerne jederzeit hier.

 

Herzliche Grüße

Sydney Loerch

Partner Communications Lead, Microsoft Deutschland 

 

Hafnium-Image-1500x1000-1.jpg

Thorsten83
Visitor 1

Hallo, wir haben bei fast allen unseren Kunden festgestellt, das dass Änderungsdatum bei den Administratoren auf die Sekunde genau gleich ist und zwar im Zeitraum vom 03.03-12.03.2021

das Ganze aber nicht bei Kunden die einen Exchange Online haben.

 

hat das noch jemand bemerkt?

kann das eine Veränderung durch einen Angreifer gewesen sein?

 

Wir bitten da um Hilfe wie wir weiter Vorgehen sollten.

 

Danke

Sydney
Moderator

Hallo Thorsten, wir haben deine Anfrage aufgenommen und melden uns schnellstmöglich bei dir zurück! Viele Grüße, Sydney