ProxyLogon: Hafnium hält die Welt in Atem!

veröffentlicht am 20. Mai 2021

von Martin Gärthöffner

Eine im letzten Quartal 2020 entdeckte Reihe von Sicherheitslücken sorgt schon zu Beginn diesen Jahres bei unzähligen Unternehmen, IT-Spezialisten und nicht zuletzt den Medien für unzählige Schlagzeilen.

Was war passiert?

Das Unternehmen „DEVCORE” fand diese Sicherheitslücken im Produkt Exchange Server von Microsoft und meldete diese Informationen sowie einen Machbarkeitsnachweis an Microsoft. Schon am nächsten Tag wurden erste Meldungen veröffentlicht, nach derer das Ausnutzen dieser Sicherheitslücke beobachtet wurde.

Es folgte ein Marathon aus weiteren Meldungen. Microsoft nannte die Anzahl von 400.000 Exchange Servern, welche von der Sicherheitslücke betroffen waren. Nach Veröffentlichung der Sicherheitsupdates am 2. März 2021 waren jedoch schon am 3. März 2021 zehntausende Exchange Server weltweit kompromittiert. Microsoft meldete am 12. März 2021, dass bei noch mehr als 82.000 Exchange Servern die Sicherheitspatches ausstehend sind.

Was ist bedroht?

Bei dieser Sicherheitslücke wird über die Schwachstellen eine Verbindung zum Exchange Server aufgebaut und dieser als Administrator gesteuert. Weitere Software kann dann in das System gebracht werden. So kontrollierte Server wurden genutzt, um Informationen aus Email-Konten und verbundenem Netzwerk zu extrahieren und weitere Schadsoftware einzuschleusen.

Wie kann man feststellen, ob man betroffen ist?

Von außen können der Patchstand und die Serverversion des Exchange Servers erfahren werden. Mittels unserer Auswertungen durch Bitsight kann dies aufgezeigt und durch Ihr Fachteam behoben werden.

Aufzeigen der ProxyLogon-Schwachstelle in Bitsight

Abbildung 1: Aufzeigen der ProxyLogon-Schwachstelle in Bitsight; Quelle: https://www.bitsight.com

Ungewünschte Zugriffsschnittstellen (Web Shells) müssen gefunden und entfernt werden. Hierzu dienen IoC-Scanner (Indication of Compromise – forensischer Scan auf Spuren von Schadprogrammen), welche auch die dem ersten Eindringen nachgelagerten ungewünschten Bedrohungen im eigenen Netzwerk offenlegen können. Das Ausnutzen der Sicherheitslücken dient als Zugangsweg, um weitere Schadsoftware wie Trojaner in das Unternehmensnetzwerk einzubringen.

Für nachfolgende Betrachtungen sollten auf die Serverlogs des Exchange Servers sowie die Windows Eventlogs im Besonderen geachtet werden.

Eine kontinuierliche Überprüfung der eigenen Resilienz durch das Bitsight Cybersecurity Ratings auch auf neue unbekannte Bedrohungen erlaubt Ihnen, neue Schwachstellen schnell zu finden und zu beheben. Gerne unterstützen wir Sie mit der Erstellung eines initialen Cybersecurity Ratings und stehen für ein kontinuierliches Monitoring zu Ihrer Seite. Bitte senden Sie uns hierzu eine kurze Nachricht über untenstehendes Kontaktformular. Wir setzen uns unverzüglich mit Ihnen in Verbindung.

Weitere Informationen finden Sie in der Rubrik: Cybersecurity Rating: Instrument zur kontinuierlichen Beurteilung der Cybersicherheit von Unternehmen und Institutionen.

Haben Sie noch Fragen? Kontaktieren Sie uns!

Anrede
Titel
Vorname
Nachname
Branche
Firma
Straße/Hausnummer
PLZ
Ort
Land
Telefon
E-Mail *	**
Frage *	*

Datenschutzerklärung *

Ich stimme der Nutzung meiner personenbezogenen Daten im Rahmen der Datenschutzerklärung ausdrücklich zu.

*
Einwilligung

Ja, ich möchte von Rödl & Partner* per E-Mail über weitere Neuigkeiten und Veranstaltungen rund um das Thema Digital GRC informiert werden.

Ja, ich möchte von Rödl & Partner* per E-Mail außerdem darüber hinaus über Neuigkeiten und Veranstaltungen rund um die Themen Recht, Steuern und Wirtschaft informiert werden.

Helfen Sie uns, Spam zu bekämpfen.