Drohende zweite Angriffswelle auf MS Exchange via HAFNIUM/ProxyLogon
Seit in der Nacht zum Mittwoch, 3. März 2021, das Microsoft Threat Intelligence Center (MSTIC) über eine akute Angriffswelle auf Microsoft Exchange Server informiert hat, haben IT-Organisationen weltweit alle Hände voll zu tun, die ausgenutzten Schwachstellen zu schließen, auf eine mögliche Kompromittierung zu prüfen und ggf. Aufräumarbeiten durchzuführen. Auch wenn Microsoft Out-of-Band Updates veröffentlich hat, wurde schnell klar, dass die vier beschriebenen Schwachstellen bereits für zielgerichtete Angriffe verwendet wurden und vielerorts die Möglichkeit boten und bieten, Daten abzugreifen oder weitere Schadsoftware zu installieren.
Nachdem die ursprünglichen Angreifergruppen es vermutlich auf Spionage abgesehen hatten, rollt nun die zweite Welle von Angriffen auf immer noch zehntausende ungepatchte Systeme und vor allem auch auf die während der ersten Wellen installierten Zugriffspunkte („Webshells“) an. Cyberkriminelle versuchen, auf den Zug aufzuspringen und über die Lücken Ransomware, Crypto-Miner und andere Schädlinge zu verteilen. Auf unserer Incident-Response-Hotline beginnen sich bereits die Fälle zu häufen, in denen Unternehmen von Ransomware-Angriffen im Zusammenhang mit HAFNIUM/ProxyLogon berichten.
Patchen allein reicht als Gegenmaßnahme nicht aus, wenn in der ersten Welle bereits eine Kompromittierung erfolgte. Daher sollten alle Organisationen, die grundsätzlich betroffen sein könnten – die also einen Exchange Server 2010 bis 2019 am WWW (OWA, ECP, UM, VDir, OAB, ActiveSync etc.) betrieben haben – unbedingt sehr zeitnah den unten beschriebenen Handlungsempfehlungen folgen, bevor ein weitergehender Angriff erfolgt. Dies gilt umso mehr, als dass die Incident-Response-Kapazitäten der qualifizierten Dienstleister zurzeit überlastet sind.
https://research.hisolutions.com/2021/03/hafnium-akute-angriffswelle-auf-microsoft-exchange-owa/
Bitte beachten Sie unbedingt qualifizierte Handlungsempfehlungen zum Umgang mit HAFNIUM/ProxyLogon und den Schwachstellen in MS Exchange.
Unsere Handlungsempfehlungen (Hilfe zur Selbsthilfe):
https://research.hisolutions.com/2021/03/hafnium-selbsthilfe-microsoft-exchange/
Der nächste reguläre HiS-Cybersecurity Digest erscheint Ende März 2021.
Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!