Weltweit werden z. Zt. mehrere Schwachstellen in Microsoft-Exchange Servern ausgenutzt. Microsoft hat diverse Sicherheitspatches freigegeben, die auf betroffenen Systemen schnellstens installiert werden sollten, da die aufgedeckten Sicherheitslücken bereits aktiv ausgenutzt werden. Weitergehende Informationen hat Microsoft u.a. unter diesen Links veröffentlicht:
Hinweise zum Sicherheitsupdate für Microsoft Exchange Server 2019, 2016 und 2013: 2. März 2021 (KB5000871)
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b
HAFNIUM targeting Exchange Servers with 0-day exploits
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
On-Premises Exchange Server Vulnerabilities Resource Center – updated March 18, 2021
On-Premises Exchange Server Vulnerabilities Resource Center – updated March 25, 2021
Diverse Sicherheits-Skripte zum Download bei Github [Exchange On-premises Mitigation Tool (EOMT), ExchangeMitigations.ps1, Test-ProxyLogon.ps1, ExchangeMitigations.ps1] und Prüfen der Exchange-Umgebung auf Befall:
https://github.com/microsoft/CSS-Exchange/tree/main/Security
Ergänzend zu den von Microsoft veröffentlichten Tools und Prüfskripten ist hier noch „THOR“ von Nextron Systems zu nennen, die die Lite-Version Ihres IoC-Scanners (Indicators of Compromise) mit einem aktualisierten Yara-Regel-Set auf Basis von Open Source ausgestattet haben, um ein mögliches Ausnutzen der Schwachstelle zu dokumentieren.
Informationen zu THOR (Lite): https://www.nextron-systems.com/2021/03/06/scan-for-hafnium-exploitation-evidence-with-thor-lite/
Weitere News von Microsoft in Bezug auf den Schutz von Microsoft Exchange:
https://news.microsoft.com/de-de/schutz-von-lokalen-exchange-servern-vor-den-aktuellen-angriffen/
https://news.microsoft.com/de-de/hafnium-sicherheitsupdate-zum-schutz-vor-neuem-nationalstaatlichem-angreifer-verfuegbar/
Ein Blick auf den Warn- und Informationsdienst vom CERT-Bund des BSI bringt recht aktuelle und umfassende Informationen zu bekannten Schwachstellen:
https://www.cert-bund.de/overview/AdvisoryShort
