Aufgrund von Zero-Day-Sicherheitslücken u.a. für Microsoft Exchance Server droht eine erneute Angriffswelle auf ungepatchte Microsoft Exchange Server. Folgend finden Sie weitere Hintergründe und Hinweise zum Umgang mit dem Angriff.
Was ist passiert?
Am 9. November 2021 wurden 55 Patches für Microsoft veröffentlicht, von denen sechs kritisch sind. Bereits im Februar und März wurden Zero-Day-Sicherheitslücken in Microsoft Exchange Servern von Angreifern ausgenutzt, um sich Zugriff auf Server zu verschaffen. Aktuell sind erneut zwei Zero-Day-Sicherheitslücken entdeckt worden, eine davon für Microsoft Exchange Server.
Die Zero-Day-Sicherheitslücke CVE-2021-42321 befindet sich in Microsoft Exchange Servern und erfordert sofortiges Handeln, da sie bereits aktiv von Angreifern ausgenutzt wird. Das Cybersicherheits-Team von Perseus rät eindringlich, die zur Verfügung stehenden Sicherheits-Patches umgehend zu installieren.
Die Sicherheitslücke CVE-2021-42292 ermöglicht es, die Sicherheitsfunktionen in den Microsoft Excel-Versionen 2013-2021 zu umgehen. Angreifer könnten so bösartige Codes installieren. Dazu müssen Sie die User lediglich dazu bringen, manipulierte Excel-Dateien herunterzuladen – beispielsweise durch Phishing-E-Mails.
CVE-2021-42321: Von Experten für Experten
Die Zero-Day-Sicherheitslücke CVE-2021-42321 ist eine kritische Schwachstelle für Remotecodeausführung (RCE) in Exchange Server, die durch Probleme bei der Validierung von Commandlet-Argumenten (cmdlet) verursacht wird – d. h. leichtgewichtige Befehle, die in der PowerShell-Umgebung verwendet werden. Sie werden von der PowerShell-Laufzeitumgebung im Kontext von Automatisierungsskripten aufgerufen, die über die Befehlszeile bereitgestellt oder von der PowerShell-Laufzeitumgebung programmatisch über APIs aufgerufen werden.
Welche Gefahren bestehen für Ihr Unternehmen?
Die Lücken werden von Cyberkriminellen bereits ausgenutzt. Sie ermöglichen den Angreifern, Webshells zu implantieren und Remote Command Executions auzuführen, kurz gesagt: aktiv Befehle auf den kompromittierten Computern durchzuführen, um Malware oder Ransomware zu installieren und sensible Daten auszuspähen. Beispielsweise werden von persönlichen Accounts Antwort-E-Mails versendet, die schadhafte Links enthalten.
Was kann ich tun?
- Microsoft hat vier als wichtig eingestufte Patches zur Behebung der Schwachstellen veröffentlicht. Prüfen Sie, ob dieses Patches bereits auf Ihrem Microsoft Exchange Server installiert sind. Falls nicht, tun Sie dies umgehend. Aufgrund der Geschwindigkeit der Ausbreitung ist die Schnelligkeit dieser Umsetzung entscheidend, um große und kumulative Cyberschäden zu vermeiden.
- Halten Sie Ihre System auf dem neuesten Stand. Wir empfehlen die Verwendung aller automatischen Updates.