Schnelles Handeln ist gefragt!
Microsoft hat auf kritische Schwachstellen in Windows Exchange Server hingewiesen. Laut dem Microsoft Threat Intelligenge Center (MSTIC) wurde diese bereits durch eine Bedrohungskampagne ausgenutzt. Die Kampagne wird einem Akteur zugeschrieben, der als „HAFNIUM“ bezeichnet wird, einer Gruppe, die als staatlich gefördert gilt und von China aus operiert.
Jetzt ist schnelles Handeln gefragt, um das Ausnutzen der Schwachstellen bei Exchange Server zu verhindern
Durch die Schwachstellen erhalten Angreifer die vollständige Kontrolle über den Exchange Server. Somit können alle E-Mails gelesen oder zusätzliche Malware installiert werden. Alle Unternehmen, die einen eigenen Exchange Server betreiben und Email Dienste zum Beispiel per OWA (Outlook Web Access) und Active Sync den Mobilgeräten der Mitarbeiter zur Verfügung stellen, sind potenzielle Opfer.
Deswegen schnellstmöglich handeln und das neueste Update aufspielen.
Rapid 7 warnt vor Massenausnutzung der Schwachstellen bei Exchange Server
Bereits am 27.02.21 hat Rapid 7 eine erhöhte Bedrohungsaktivität gegen Microsoft Exchange Server beobachtet und die fortlaufende Massenausnutzung anfälliger Exchange Instanzen bestätigt. Rapid 7 empfiehlt die Überwachung verdächtiger Aktivitäten und Kompromissindikatoren (IOCS).
Im Rapid7 Blog finden Sie nähere Informationen zur Erkennung durch die Rapid7 Schwachstellenmanagement-Lösung InsightVM und zur Erkennung durch die Incident und Response Lösung Insight IDR.
Sophos bittet seine Kunden um folgende Vorgehensweise:
- CEP und CIXA Kunden sollen die kostenfreie EDR Trial in ihrem Central Konto freischalten, um nach loC (Indicators of Compromise) suchen zu können, dazu findet man eine Menge Informationen bereits unter der Suche nach „hafnium ico“ im Internet.
- Alle Central Kunden müssen dringend Endpoint und Server Policy Einstellungen prüfen, ob z.B. alle Schutzmechanismen wie Deep Learning auch aktiviert sind und tatsächlich der Schutz auf ALLEN Geräten ausgerollt ist.
- Nicht zu schützende Geräte (z.B. LoT) sind sofort in ein separates Netzwerksegment zu überführen.
- On-premise Endpoint Kunden müssen dringend auf CIXAEDR wechseln, um eine Aussagefähigkeit zu bekommen, ob sie bereits unter den Opfern sind
- XG Firewall hat bereits aktuelle IPS Signaturen gegen Hafnium implementiert, dazu müssen Regeln geprüft und gegebenenfalls angepasst werden
Sophos hat am 4.3.21 IPS Signaturen für diese Bedrohung freigegeben (s. pdf).
Ein Anwendungsbeispiel lesen Sie auf der Sophos News-Seite.
MDR-Service Sophos Managed Threat Response
Nutzen Sie den 24/7 MDR-Service von Sophos. Mit dem MDR-Service Sophos Managed Threat Response erhalten Sie ein Team aus hochqualifizierten Bedrohungsexperten, die sich rund um die Uhr um Ihre Sicherheit kümmern. Diese können nach Anzeichen für Hafnium in Ihrer Umgebung suchen und die Bedrohung beseitigen.
Weitere Informationen gibt auch unter: Managed Threat Response (MTR)
Sie benötigen Unterstützung? Dann kontaktieren Sie uns gerne!
Weitere Informationen unter BSI.bund.de .
Gehen Sie auf Nummer sicher!
Sie möchten schwarz auf weiß sehen, ob Ihre Patches geholfen haben und keine Schwachstellen bei Ihrem Exchange Server mehr vorhanden sind.
Dann lassen Sie Ihren Exchange Server auf Schwachstellen testen! Jetzt bitbone-Schwachstellenscan für 249,00 € durchführen lassen.
Jetzt bitbone-Schwachstellenscan für 249, 00€ buchen und Exchange Server prüfen lassen!
Unter der Tel.: +49 931 2509931-0 oder direkt über unser Kontaktformular