{"id":26321,"date":"2021-03-10T12:24:51","date_gmt":"2021-03-10T10:24:51","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26321"},"modified":"2021-03-10T13:25:58","modified_gmt":"2021-03-10T11:25:58","slug":"exchange-vulnerabilities","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/exchange-vulnerabilities\/26321\/","title":{"rendered":"Sicherheitsl\u00fccken bei Microsoft Exchange Server erm\u00f6glichen gigantische Hacker-Kampagne"},"content":{"rendered":"<p>Microsoft stellt Patches zum Schlie\u00dfen der Sicherheitsl\u00fccken von Exchange Server bereit. Vier dieser Schwachstellen werden bereits aktiv von Hackergruppen f\u00fcr gezielte Angriffe ausgenutzt, daher ist es ratsam, die <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-march-2021-exchange-server-security-updates\/ba-p\/2175901\" target=\"_blank\" rel=\"noopener nofollow\">Patches so schnell wie m\u00f6glich zu installieren<\/a>.<\/p>\n<h2>Die Sicherheitsrisiken<\/h2>\n<p>Vier der Sicherheitsl\u00fccken werden bereits von Hackern verwendet, um Angriffe durchzuf\u00fchren, die insgesamt drei Schritte umfassen: Zuerst verschaffen sich die Angreifer Zugang zu einem Exchange Server. Dann wird eine sogenannte Web-Shell erstellt, um den kompromittierten Server aus der Ferne zu steuern. Dieser Fernzugriff erm\u00f6glicht es den Hackern die Daten aus dem Netzwerk der Opfer zu stehlen. Hier handelt es sich um folgende Sicherheitsl\u00fccken:<\/p>\n<ul>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26855\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-26855<\/a>wird f\u00fcr <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/server-side-request-forgery-ssrf\/\" target=\"_blank\" rel=\"noopener\">serverseitige Anforderungsf\u00e4lschung (SSRF)<\/a> genutzt und erm\u00f6glicht die Remotecodeausf\u00fchrung.<\/li>\n<li>Mit <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26857\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-26857<\/a> kann beliebiger Code auf dem Server als System ausgef\u00fchrt werden (hierf\u00fcr sind allerdings Administratorenrechte oder der Exploit der vorherigen Schwachstelle erforderlich).<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26858\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-26858<\/a> und <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-27065\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-27065<\/a> sind Schwachstellen, mit denen \u2013 nach der Authentisierung \u2013 beliebige Dateien auf dem Exchange-Server \u00fcberschrieben werden k\u00f6nnen.<\/li>\n<\/ul>\n<p>Cyberkriminelle kombinieren die vier Sicherheitsl\u00fccken miteinander. Microsoft teilte mit, dass in manchen F\u00e4llen statt der ersten Schwachstelle CVE-2021-26855, gestohlene Zugangsdaten zur Authentifizierung auf dem Server verwendet werden.<\/p>\n<p>Mit den bereitgestellten Patches wurden auch weitere Sicherheitsl\u00fccken behoben, die \u2013 soweit bisher bekannt ist \u2013 noch nicht f\u00fcr gezielte Angriffe verwendet werden.<\/p>\n<h2>Wer ist in Gefahr?<\/h2>\n<p>Die Schwachstellen betreffen nur die Server, die in der Infrastruktur implementiert sind \u2013 die Cloud-Version von Exchange wurde verschont. Microsoft hat <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-march-2021-exchange-server-security-updates\/ba-p\/2175901\" target=\"_blank\" rel=\"noopener nofollow\">Updates<\/a> bereitgestellt f\u00fcr Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 und Microsoft Exchange Server 2019. Aufgrund der schwerwiegenden Folgen der Exploits wurde selbst f\u00fcr Exchange Server 2010 ein wichtiges Sicherheitsupdate ver\u00f6ffentlicht, obwohl Microsoft den <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/march-2021-exchange-server-security-updates-for-older-cumulative\/ba-p\/2192020\" target=\"_blank\" rel=\"noopener nofollow\">Support f\u00fcr diese Version bereits beendet hatte<\/a>.<\/p>\n<p>Laut <a href=\"https:\/\/blogs.microsoft.com\/on-the-issues\/2021\/03\/02\/new-nation-state-cyberattacks\/\" target=\"_blank\" rel=\"noopener nofollow\">Forschern<\/a> von Microsoft wurden die Schwachstellen von Hackern der Hafnium-Gruppe ausgenutzt, um vertrauliche Informationen zu stehlen. Zu den Angriffszielen der Gruppe z\u00e4hlen US-amerikanische Industrieunternehmen, Wissenschaftler die in der Infektionsforschung t\u00e4tig sind, Kanzleien, gemeinn\u00fctzige Organisationen und politische Analysten. Die genaue Anzahl an Opfer ist nicht bekannt, aber <a href=\"https:\/\/krebsonsecurity.com\/2021\/03\/at-least-30000-u-s-organizations-newly-hacked-via-holes-in-microsofts-email-software\/\" target=\"_blank\" rel=\"noopener nofollow\">laut den Quellen von KrebsOnSecurity<\/a> sind in den USA mindestens 30.000 Organisationen von den Angriffen betroffen, einschlie\u00dflich kleine Unternehmen, Stadtverwaltungen und Bezirksregierungen. Unsere Experten haben festgestellt, dass nicht nur US-amerikanische Organisationen in Gefahr sind \u2013 inzwischen werden diese Sicherheitsl\u00fccken von Kriminellen rund um den Globus ausgenutzt. Im <a href=\"https:\/\/securelist.com\/zero-day-vulnerabilities-in-microsoft-exchange-server\/101096\/\" target=\"_blank\" rel=\"noopener\">Blogbeitrag auf unserer Cybersicherheitsseite Securelist<\/a> finden Sie detaillierte Informationen zu der aktuellen, weltweiten Cyberbedrohungslage.<\/p>\n<h2>So sch\u00fctzen Sie sich vor Angriffen auf den Microsoft Exchange Server<\/h2>\n<ul>\n<li>Installieren Sie umgehend den <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-march-2021-exchange-server-security-updates\/ba-p\/2175901\" target=\"_blank\" rel=\"noopener nofollow\">Patch<\/a> f\u00fcr Microsoft Exchange Server. Sollte es unm\u00f6glich sein, die Updates zu installieren, empfiehlt Microsoft einige <a href=\"https:\/\/msrc-blog.microsoft.com\/2021\/03\/05\/microsoft-exchange-server-vulnerabilities-mitigations-march-2021\/\" target=\"_blank\" rel=\"noopener nofollow\">Workarounds<\/a>.<\/li>\n<li>Laut Microsoft kann die erste Phase des Angriffs gestoppt werden, indem der Aufbau nicht-vertrauensw\u00fcrdiger Verbindungen auf Port 443 nicht zugelassen oder allgemein die Verbindungen von au\u00dferhalb des Unternehmensnetzwerkes eingeschr\u00e4nkt wird. Aber das ist keine L\u00f6sung, wenn die Hacker bereits in das Netzwerk eingedrungen sind oder es schaffen, \u00fcber einen Benutzer mit Administratorenrechten, eine sch\u00e4dliche Datei auszuf\u00fchren.<\/li>\n<li>Eine L\u00f6sung mit <a href=\"https:\/\/www.kaspersky.de\/enterprise-security\/threat-management-defense-solution?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____tmd___\" target=\"_blank\" rel=\"noopener\">Endpoint Detection and Response (EDR)<\/a> oder ein externer EDR-Experte k\u00f6nnen diese Art von Bedrohungen und b\u00f6sartigem Verhalten erkennen.<\/li>\n<li>Beachten Sie, dass jeder Computer, der mit dem Internet verbunden ist, egal ob es sich um einen Server oder einen Mitarbeiter-Computer handelt, mit einer <a href=\"https:\/\/www.kaspersky.de\/small-to-medium-business-security?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">zuverl\u00e4ssiges Endpoint-Sicherheitsl\u00f6sung<\/a>\u00a0gesch\u00fctzt werden sollte, um Exploits und b\u00f6sartiges Verhalten proaktiv zu entdecken.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Cyberkriminelle nutzen vier gef\u00e4hrliche Sicherheitsl\u00fccken von Microsoft Exchange aus, um Unternehmensnetzwerke zu kompromittieren.<\/p>\n","protected":false},"author":2581,"featured_media":26322,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3108],"tags":[3779,25,79,1498,382],"class_list":{"0":"post-26321","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-exchange","10":"tag-microsoft","11":"tag-patch","12":"tag-schwachstellen","13":"tag-sicherheitslucken"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/exchange-vulnerabilities\/26321\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/exchange-vulnerabilities\/22592\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/exchange-vulnerabilities\/18085\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/exchange-vulnerabilities\/24317\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/exchange-vulnerabilities\/22385\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/exchange-vulnerabilities\/21250\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/exchange-vulnerabilities\/24847\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/exchange-vulnerabilities\/24085\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/exchange-vulnerabilities\/30228\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/exchange-vulnerabilities\/9406\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/exchange-vulnerabilities\/38964\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/exchange-vulnerabilities\/16505\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/exchange-vulnerabilities\/17104\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/exchange-vulnerabilities\/14553\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/exchange-vulnerabilities\/30177\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/exchange-vulnerabilities\/26768\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/exchange-vulnerabilities\/23631\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/exchange-vulnerabilities\/28972\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/exchange-vulnerabilities\/28781\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/sicherheitslucken\/","name":"Sicherheitsl\u00fccken"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/26321","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=26321"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/26321\/revisions"}],"predecessor-version":[{"id":26325,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/26321\/revisions\/26325"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/26322"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=26321"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=26321"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=26321"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}