12.03.2021

Vier Zero-Day-Sicherheitslücken in Microsoft Exchange Servern sind von einer Gruppe namens HAFNIUM flächendeckend ausgenutzt worden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Sicherheitslücken als kritisch ein.

Bei einem Angriff kann es dazu kommen, dass E-Mails ohne Authentifizierung ausgelesen wurden. Des Weiteren könnte Schadsoftware auf dem System hinterlegt worden sein über die sich die Angreifer Zugang auf weitere Systeme im Unternehmensnetzwerk verschafft haben. In einem nachgelagerten zweiten Angriff können dann Daten gezielt verschlüsselt oder gelöscht werden.

Gefährdet sind Server mit selbst betriebenen Exchange Servern 2013, 2016 oder 2019 (On-Premise-Systeme).

Laut Microsoft und BSI sind folgende Exchange-Server-Versionen betroffen:

Exchange Server 2010 (RU 31 für Service Pack 3)
Exchange Server 2013 (CU 23)
Exchange Server 2016 (CU 19, CU 18)
Exchange Server 2019 (CU 8, CU 7)

Exchange Server, die nur per VPN erreichbar sind oder nicht-vertrauenswürdige Verbindungen blockieren, sind nach den vorliegenden Erkenntnissen nicht gefährdet.

Was ist zu tun?

Informieren Sie sich bitte umfassend beim BSI über den Angriff: Mehrere Schwachstellen in MS Exchange (bund.de)
Microsoft bietet Hilfestellungen zur Prüfung der Logfiles des Exchange Servers auf die "Indicators of Compromise": HAFNIUM targeting Exchange Servers with 0-day exploits - Microsoft Security
Installieren Sie auf Ihren Exchange Servern zuerst die aktuellen Cumulativen Updates. Dann installieren Sie bitte anschließend die von Microsoft bereitgestellten Sicherheitsupdates. Diese Reihenfolge ist zwingend einzuhalten.
Laden Sie sich die SHD-Handlungsempfehlung herunter. Zum Leitfaden-Download
Sie benötigen Hilfe beim Schließen der Sicherheitslücken? Rufen Sie gern unsere Admin-Hotline an: 0351/4232-222 oder mailen an: support(at)shd-online.de.

Wie können Sie sich in Zukunft besser schützen?