Verzehnfachung der Incident Response Einsätze bei SECUINFRA durch Exchange Schwachstelle

Als Microsoft am 03.03.2021 die Exchange Schwachstelle offiziell bekanntgab, wurde diese laut dem BSI bereits durch APT-Gruppen wie Hafnium, LuckyMouse und Calypso gezielt ausgenutzt. (BSI, 2021)

Die Bekanntgabe der Schwachstelle kann getrost mit dem Auslösen einer Lawine gleichgesetzt werden. Weltweit arbeiten seitdem APT-Gruppen 24/7 daran, Exploits zu schreiben, die Schwachstelle in Ihre Tools einzubauen und jeden verwundbaren Exchange Server anzugreifen. Hierbei geht es nicht nur darum Emails und Kontaktdaten zu stehlen. Längst wird versucht weiter in die Firmen einzudringen, Domain Controller (AD) zu kapern, weitere Daten zu stehlen und Schadcode und Hintertüren in die Firmeninfrastrukturen einzuschleusen um sich langfristig festzusetzten.

Erst zum 3. Mal seit Bestehen des BSI wurde die höchste Sicherheitswarnstufe ausgerufen. Dies ist mehr als angebracht, den seit Bekanntwerden der Lücke wurden laut dem Präsidenten des BSI, Arne Schönbohm „circa 65.000 angreifbare Server bei Firmen, Behörden und anderen Institutionen in Deutschland identifiziert. Zudem können Hacker, denen es gelingt, Exchange zu übernehmen, auch recht leicht in weitere interne IT-Systeme der Betroffenen eindringen. Die Bedrohung, die von der aktuellen Schwachstelle ausgeht, reicht weit über Exchange hinaus.“ (Kuhn, 2021)

SECUINFRA verzeichnet seit Bekanntwerden der Schwachstelle eine Verzehnfachung von Digital Forensics und Incident Response (DFIR) Einsätzen. Aus unseren Einsätzen können wir die Einschätzung des BSI Präsidenten bestätigen. Längst geht es nicht mehr nur um Exchange. Wer betroffen ist und jetzt nicht handelt riskiert grob fahrlässig die Integrität seines Unternehmens!

Nach dem Einspielen der Sicherheitsupdates muss, laut dem Präsidenten des BSI „die gesamte IT auf jede Form von Hacker-Aktivitäten durchsucht und davon befreit werden.“ (Kuhn, 2021)

Genau hierfür steht SECUINFRA mit seinem Compromise Assessment Service bereit. Für unsere Cyber Defense Experten sind es Routineeinsätze. Für unsere Kunden geht es um die Beantwortung der dringlichen Frage: Sind neben dem Exchange Server weitere Systeme kompromittiert worden?

Diese Frage können die SECUINFRA Cyber Defense Experten schnell und präzise beantworten.

Treten Sie mit uns in Kontakt.

 

BSI, 2021

Bundesamt für Sicherheit in der Informationstechnik (2021, 14. März), Microsoft Exchange Schwachstellen,

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Vorfaelle/Exchange-Schwachstellen-2021/MSExchange_Schwachstelle_Detektion_Reaktion.pdf?__blob=publicationFile&v=3

Kuhn, 2021

Kuhn, T. (2021, 14. März), Die Bedrohung reicht weit über Microsoft Exchange hinaus, WirtschaftsWoche,

https://www.wiwo.de/technologie/digitale-welt/cybersicherheit-die-bedrohung-reicht-weit-ueber-microsoft-exchange-hinaus/26996784.html

Beitrag von: