zur Übersicht

Trend Micro Deep Security schützt Sie vor Schwachstellen

Nach dem HAFNIUM-Hack auf div. Microsoft Exchange Server, erinnern sich viele Unternehmer wieder daran, dass es neben der Pandemie und/oder Naturkatastrophen, auch kritische Bedrohungen virtueller Art gibt. Plötzlich entstand Verwirrung darüber, ob man selbst von der Attacke betroffen ist, wie es überhaupt zu einem solchen Vorfall kommen konnte und was man machen kann, um sich vor solchen Sicherheitslücken zu schützen. Auch wenn Microsoft zwar schnell reagierte und passende Sicherheitsupdates zur Verfügung stellte, für einige Exchange-Systeme war es da bereits zu spät.

Zero-Day-Exploit

In der Kalenderwoche 9/2021 wurde die Zero-Day Schwachstelle CVE-2021-26855 inklusive drei weiterer Schwachstellen bekannt. Die Hacker-Gruppe „Hafnium“ soll diese Lücken aktiv ausgenutzt haben - damit gehört dieser Hack zur Kategorie der Zero-Day-Exploits. Solche Angriffe zeichnen sich dadurch aus, dass die Attacke noch am selben Tag stattfindet, an dem die Sicherheitslücke aufgedeckt wurde. In der Kürze der Zeit, kann der Software-Hersteller noch keinen Fix anbieten und so sind viele Systeme bereits kompromittiert, bevor es ein Update gibt. Derartige Cyber-Attacken zählen zu den größten Sicherheitsrisiken für Unternehmen und sollten schnellstmöglich und nachhaltig bekämpft werden.

Bedrohungen auch in Deutschland

Über die o.g. Schwachstelle können sowohl Exchange Server manipuliert werden als auch die komplette Infrastruktur betroffener Organisationen, kann nach Ausnutzen der Schwachstelle von einem Angreifer übernommen werden. Im konkreten Fall sind „nur“ die on premise Exchange Server (also im eigenen oder cloudbasierten Data Center; nicht Exchange Online) betroffen und anscheinend zielte der Angriff vorrangig auf Organisationen in den USA ab. Doch die bei uns eingegangenen Kunden-Supportcases zeigen, dass auch deutsche Unternehmen betroffen sind.

Deep Security – Schutz für Ihre Serversysteme

Auch in der Vergangenheit gab es bereits Zero Day Angriffe auf Microsoft Lösungen, die zu spät gepatched wurden. Auf den Software-Anbieter sollten Sie sich also nicht verlassen, sondern Ihre IT proaktiv(er) schützen. Dabei unterstützt Sie z.B. die Deep Security von Trend Micro mit entsprechenden IPS-Regeln. Im Fall der aktuellen Sicherheitslücke bei MS, verfügt Deep Security bereits seit dem 3. März 2021 (also weniger als 24 Stunden nach Bekanntwerden der Schwachstelle) über eine entsprechende Regel innerhalb der Intrusion Prevention.

TM_1

Die vier genannten Schwachstellen stellen eine Angriffskette dar, sobald CVE-2021-26855 ausgenutzt wurde, ist es zu spät. Übrigens bietet auch die Lösung TippingPoint seit Anfang März 2021 bereits Schutz vor dem genannten Exploit.

Im Gegensatz zur Deep Security (oder zu TippingPoint) bietet die Trend Micro Lösung Apex One (Endpoint-Security Lösung) bisher (Stand: 26. März 2021) noch keine Regeln an, die Schwachstellen oder Exploits beginnend mit CVE-2021 (also Schwachstellen oder Exploits aus diesem Jahr) absichern.

TM_2

Warum wird nur eine Schwachstelle behandelt?

Weiter oben im Text haben wir Ihnen mitgeteilt, dass es sich bei der aktuellen Sicherheitslücke um vier CVEs handelt. Doch die drei weiteren CVEs 26857, 26858 und 27065 werden weder in der Deep Security noch in der TippingPoint Lösung behandelt. Warum ist das so?

Die Sicherheitslücke CVE-2021-26857 kann nur ausgenutzt werden, wenn der Angreifer Zugriff auf den Exchange Server hat. Er benötigt hierzu Administratorberechtigungen, die er vorab über die CVE-2021-26855 erhalten kann. Somit ist die zweite Lücke, von der ersten direkt abhängig. Die CVE-2021-26858 und CVE-2021-27065 ermöglichen es nach der Authentifizierung beliebige Dateien auf dem Exchange Server zu schreiben. Auch für diese beiden Angriffe ist es vorab nötig, die erste Sicherheitslücke auszunutzen.

Sobald also die erste CVE-2021-26855 abgesichert ist, ist das von den anderen drei Schwachstellen ausgehende Risiko (vermutlich) eher als gering einzustufen. Diese Kette dürfte auch der Grund sein, warum es keine unmittelbar entwickelten Regeln für die anderen drei CVEs gibt.

Verfasser: Marco Schmidt

Mit einem guten Sicherheitskonzept schützen Sie Ihre IT und damit Ihr gesamtes Unternehmen. KRICK ist zertifizierter Trend Micro Partner und berät Sie gerne zu allen Sicherheitsfragen. Wir freuen uns auf Sie.

Vereinbaren Sie einen Beratungstermin mit uns!

zur Übersicht

Marco Schmidt

Sie haben Fragen?

Gerne beantworten wir Ihre Fragen und informieren Sie über unsere Referenzprojekte!

Nehmen Sie Kontakt auf

Das könnte Sie auch interessieren

Eine Firewall mit Röntgenblick

Firewalls sind aus den heutigen Kommunikationsketten zwischen Firmennetzen und dem Internet nicht mehr wegzudenken und auch den Ruf sie seien reine Paketfilter, haben sie schon lange abgelegt.

16.04.21 09:13

Sicher & performant – immer & überall, mit Citrix

Weltweit arbeiten mehrere Millionen Anwender aus dem Mittelstand, Konzernen und auch aus der öffentlichen Verwaltung mit den Technologien von Citrix. Im letzten Jahr ist die Nutzung sprunghaft angestiegen – kein Wunder, denn wir sorgen mit unseren Lösungen dafür, dass Mitarbeiter*innen ihre tägliche Arbeit unabhängig von Zeit und Ort ausführen können. New Work ist im Alltag angekommen.

09.04.21 10:36

Sicherheits-Vorsorge: wie wichtig sind Security-Checks?

Wissen Sie, ob Ihre Unternehmens-IT vor Cyber-Attacken sicher ist? Haben Sie schon einmal aus der Perspektive eines Hackers versucht, in Ihr Unternehmen einzudringen? Kennen Sie Ihr IT-Risikopotenzial? Viele (besonders mittelständische) Firmen beantworten die Fragen mit „nein“ und gehen somit recht sorglos mit ihrer IT-Sicherheit um.

02.04.21 10:00

Robert F. Krick

Geschäftsführer

Starten Sie jetzt
eine Anfrage

In unseren Stellenausschreibungen nicht den passenden Job gefunden? Macht nichts. Unser Team wächst stetig, deshalb sind wir immer auf der Suche nach Teamplayern und freuen uns über Deine Initiativbewerbung. Sende uns diese an: bewerbung@krick.net