zur Übersicht

Exchange Sicherheitslücke – Was ist zu tun?

Die ersten erfolgreichen Angriffe wurden auf den 06.01.21 zurückverfolgt. Am 02.03.21 veröffentlichte Microsoft mehrere Security Updates für den Exchange Server und wies gleichzeitig darauf hin, dass es bereits erfolgreiche Angriffe auf die Sicherheitslücke gab. Die betroffenen Systeme sind Exchange Server 2010 (EOL), 2013, 2016 und 2019. Exchange Online ist von der Sicherheitslücke laut Microsoft nicht betroffen. Die nachfolgenden Schritte funktionieren nur für die Systeme neuer als 2010.

Am Mittwoch, den 3.3.21 informierte das BSI über eine kritische Sicherheitslücke im Microsoft Exchange mit den folgenden CVEs:

CVE-Liste

CVE-2021-26412, CVE-2021-26854, CVE-2021-26855,
CVE-2021-26857, CVE-2021-26858, CVE-2021-27065,
CVE-2021-27078
Quelle: https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

Kurze Zeit später wurden auf GitHub die ersten Lösungen veröffentlicht, die helfen zu prüfen, ob man betroffen ist. Wie ist im Detail vorzugehen, um zu prüfen, ob der Exchange schon befallen ist.

1. Den Exchange Server mit den von Microsoft empfohlenen Updates versehen.

2. Herunterladen des Powershell-Scriptes von GitHub über folgenden Link: https://github.com/microsoft/CSS-Exchange/tree/main/Security#test-proxylogonps1

3. Auf dem Exchange Server das Script als Administrator ausführen. Details dazu sind unter https://github.com/microsoft/CSS-Exchange/tree/main/Security zu finden. 
.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs
Die Ausführung kann einige Zeit dauern

script1

Wenn „Nothing suspicious detected“ erscheint, sieht es gut aus.

script2

Taucht etwas Rotes auf, sind den Anweisungen auf dem Bildschirm Folge zu leisten. In dem obigen Fall wurde etwas in den ECP Logs gefunden und bei der Suche wurden 24 suspicious Files entdeckt. Diese sind in der Datei *-other.csv aufgelistet.

Gleichzeitig werden mehrere Dateien im Ausgabepfad erzeugt.

script3

Wird nur eine Datei erzeugt *-LogAgeDays.cvs, hat das Script keine verdächtigen Aktivitäten gefunden. Werden mehrere Dateien erzeugt, geht es mit Schritt 4 und Schritt 5 weiter.

4. Im vierten Schritt ist zu untersuchen, ob die suspicious Files, die gefunden wurden, erklärbar sind. Also gehören diese zum Beispiel zur Datensicherung oder zu VMware. Sollten dort nicht erklärbare Dateien auftauchen, ist es sehr wahrscheinlich, dass das System befallen ist.

5. Im fünften Schritt ist im obigen Beispiel zu prüfen, ob es Einträge in dem Logfile -CVE- gibt wie angegeben. Muss nach dem Begriff „Set-*VirtualDirectory“ gesucht werden. Der * ist ein Platzhalter.

Die Suche beginnt...

... am besten im Notepad mit dem Begriff „Set-“. Dort sollten nicht allzu viele Einträge auftauchen. Jedes Vorkommen muss erklärbar sein. In unserem Beispiel hat der Kunde vor einigen Tagen eine Hybrid-Anbindung vorgenommen und dadurch kamen einige Einträge zustande.

Sollten bei Schritt 4 und Schritt 5 Unsicherheiten bestehen, wenden Sie sich an Ihren Systempartner des Vertrauens, um der Sache auf den Grund zu gehen.

Kunden, die Trend Micro im Einsatz haben, sollten auf dem System einen manuellen Full-Scan anstellen, um sicher zu sein, dass keine verdächtigen Dateien auf dem System vorhanden sind. Details wie die Trend Micro Lösungen vor der Ausnutzung der Lücke zu schützen sind, hier zu finden: https://success.trendmicro.com/solution/000285882?_ga=2.232974039.898728313.1615314596-24716628.1615314596

Verfasser: Robert Krick

Wir hoffen, dadurch einigen Kunden schneller zu mehr Klarheit zu verhelfen, ob hier ein Befall vorliegt.

Vereinbaren Sie einen Beratungstermin mit uns!

zur Übersicht

Robert Krick

Sie haben Fragen?

Gerne beantworten wir Ihre Fragen und informieren Sie über unsere Referenzprojekte!

Nehmen Sie Kontakt auf

Das könnte Sie auch interessieren

Eine Firewall mit Röntgenblick

Firewalls sind aus den heutigen Kommunikationsketten zwischen Firmennetzen und dem Internet nicht mehr wegzudenken und auch den Ruf sie seien reine Paketfilter, haben sie schon lange abgelegt.

16.04.21 09:13

Sicher & performant – immer & überall, mit Citrix

Weltweit arbeiten mehrere Millionen Anwender aus dem Mittelstand, Konzernen und auch aus der öffentlichen Verwaltung mit den Technologien von Citrix. Im letzten Jahr ist die Nutzung sprunghaft angestiegen – kein Wunder, denn wir sorgen mit unseren Lösungen dafür, dass Mitarbeiter*innen ihre tägliche Arbeit unabhängig von Zeit und Ort ausführen können. New Work ist im Alltag angekommen.

09.04.21 10:36

Sicherheits-Vorsorge: wie wichtig sind Security-Checks?

Wissen Sie, ob Ihre Unternehmens-IT vor Cyber-Attacken sicher ist? Haben Sie schon einmal aus der Perspektive eines Hackers versucht, in Ihr Unternehmen einzudringen? Kennen Sie Ihr IT-Risikopotenzial? Viele (besonders mittelständische) Firmen beantworten die Fragen mit „nein“ und gehen somit recht sorglos mit ihrer IT-Sicherheit um.

02.04.21 10:00

Robert F. Krick

Geschäftsführer

Starten Sie jetzt
eine Anfrage

In unseren Stellenausschreibungen nicht den passenden Job gefunden? Macht nichts. Unser Team wächst stetig, deshalb sind wir immer auf der Suche nach Teamplayern und freuen uns über Deine Initiativbewerbung. Sende uns diese an: bewerbung@krick.net