Schnelles Handeln ist gefragt!


Microsoft hat auf kritische Schwachstellen in Windows Exchange Server hingewiesen. Laut dem Microsoft Threat Intelligenge Center (MSTIC) wurde diese bereits durch eine Bedrohungskampagne ausgenutzt. Die Kampagne wird einem Akteur zugeschrieben, der als „HAFNIUM“ bezeichnet wird, einer Gruppe, die als staatlich gefördert gilt und von China aus operiert.

Jetzt ist schnelles Handeln gefragt, um das Ausnutzen der Schwachstellen bei Exchange Server zu verhindern

Durch die Schwachstellen erhalten Angreifer die vollständige Kontrolle über den Exchange Server. Somit können alle E-Mails gelesen oder zusätzliche Malware installiert werden. Alle Unternehmen, die einen eigenen Exchange Server betreiben und Email Dienste zum Beispiel per OWA (Outlook Web Access) und Active Sync den Mobilgeräten der Mitarbeiter zur Verfügung stellen, sind potenzielle Opfer. 

Deswegen schnellstmöglich handeln und das neueste Update aufspielen.

Rapid 7 warnt vor Massenausnutzung der Schwachstellen bei Exchange Server

Bereits am 27.02.21 hat Rapid 7 eine erhöhte Bedrohungsaktivität gegen Microsoft Exchange Server beobachtet und die fortlaufende Massenausnutzung anfälliger Exchange Instanzen bestätigt. Rapid 7 empfiehlt die Überwachung verdächtiger Aktivitäten und Kompromissindikatoren (IOCS).

Nähere Informationen zur Erkennung durch die Rapid7 Schwachstellenmanagement-Lösung InsightVM finden Sie hier.
Weitere Informationen zur Erkennung durch die Rapid7 Incident und Response Lösung Insight IDR finden Sie hier.

Sophos bittet seine Kunden um folgende Vorgehensweise:

  • CEP und CIXA Kunden sollen die kostenfreie EDR Trial in ihrem Central Konto freischalten, um nach loC (Indicators of Compromise) suchen zu können, dazu findet man eine Menge Informationen bereits unter der Suche nach „hafnium ico“ im Internet.
  • Alle Central Kunden müssen dringend Endpoint und Server Policy Einstellungen prüfen, ob z.B. alle Schutzmechanismen wie Deep Learning auch aktiviert sind und tatsächlich der Schutz auf ALLEN Geräten ausgerollt ist.
  • Nicht zu schützende Geräte (z.B. LoT) sind sofort in ein separates Netzwerksegment zu überführen.
  • On-premise Endpoint Kunden müssen dringend auf CIXAEDR wechseln, um eine Aussagefähigkeit zu bekommen, ob sie bereits unter den Opfern sind
  • XG Firewall hat bereits aktuelle IPS Signaturen gegen Hafnium implementiert, dazu müssen Regeln geprüft und gegebenenfalls angepasst werden

Sophos hat am 4.3.21 IPS Signaturen für diese Bedrohung freigegeben.
Beispiel hierzu.

MDR-Service Sophos Managed Threat Response

Nutzen Sie den 24/7 MDR-Service von Sophos. Mit dem MDR-Service Sophos Managed Threat Response erhalten Sie ein Team aus hochqualifizierten Bedrohungsexperten, die sich rund um die Uhr um Ihre Sicherheit kümmern. Diese können nach Anzeichen für Hafnium in Ihrer Umgebung suchen und die Bedrohung beseitigen.

Weitere Informationen gibt auch unter: Managed Threat Response (MTR)

Sie benötigen Unterstützung? Dann kontaktieren Sie uns gerne!

Weitere Informationen finden Sie auch hier.

Gehen Sie auf Nummer sicher!


Sie möchten schwarz auf weiß sehen, ob Ihre Patches geholfen haben und keine Schwachstellen bei Ihrem Exchange Server mehr vorhanden sind.
Dann lassen Sie Ihren Exchange Server auf Schwachstellen testen! Jetzt bitbone-Schwachstellenscan für 249,00 € durchführen lassen.

Jetzt bitbone-Schwachstellenscan für 249, 00€ buchen und Exchange Server prüfen lassen!

Unter der Tel.: +49 931 2509931-0 oder direkt über unser Kontaktformular

    *
    *
    *
    Ich bin damit einverstanden, dass meine Daten von der bitbone AG elektronisch gespeichert und verarbeitet werden, um mit mir in Kontakt zu treten.

    ← zurück