PR – Über einen großen Hackerangriffe auf eine Microsoft-Exchange-Lücke informiert die Babenshamer IT-Firma „Jansen“. Weltweit sollen bereits hunderttausende Systeme von Hackern kontrolliert werden. In Deutschland, so vermutet das Bundesamt für Sicherheit in der Informationstechnik, sind bereits zehntausende Server betroffen. „Auch die europäische Bankenaufsicht (EBA) ist Opfer der Angriffswelle geworden und mussten ihr gesamtes Mailsystem abschalten“, sagt eine Sprecherin von „Jansen IT“.
Die Experten aus Babensham weiter: „Es ist nicht auszuschließen, dass die Angreifer auf persönliche Daten Zugriff bekommen haben. Das Bundesamt für Sicherheit in der Informationstechnik mahnt zur Vorsicht. Dort wird die IT-Bedrohungslage als extrem kritisch festgelegt. Der Regelbetrieb kann dadurch nicht aufrecht erhalten werden.“
Durch kritische Schwachstellen in den Microsoft Exchange-Servern könnten durch diese Sicherheitslücken die Angreifer eine nicht-vertrauenswürdige Verbindung auf Port 443 zu den Exchange-Server herstellen. „Dies kann grundsätzlich durch jeden Exchange Web- Dienst verursacht werden, auch nur durch Nutzung von so genannten ActiveSync, Unified Messaging (UM), dem Exchange Control-Panel (ECP) VDir, den Offline-Address Book (OAB) VDir Services sowie weiterer Dienste.“
Jansen IT: „Ein hohes Risiko für erfolgreiche Angriffe besteht vor allem für Microsoft Exchange-Server deren Verbindung nicht ausschließlich mittels VPN erfolgt. Außerdem für alle aus dem Internet erreichbaren Exchange-Server (zum Beispiel Outlook Web Acces). Sofern die Verbindung nicht mittel VPN erfolgt.“
Es könne jede Organisation von einem Hackangriff betroffen werden.
„Wir empfehlen, dass alle Betreiber von betroffenen Exchange-Servern die von Microsoft bereitgestellten Patches aufspielen. Durch diese Patches werden die vier Schwachstellen in Exchange geschlossen. Betroffen sind die Exchange Server von 2010, 2013, 2016 und 2019.“
Weitere Infos und Soforthilfe telefonisch unter der 08074/91 56 56 0 oder per Mail an support@jansenit.de.
Wer heute noch nicht gepatcht hat ist zu über 90% befallen von dem Hack. Ich habe schon einige Systeme auf den aktuellen Stand gebracht, aber auch schon 2 System gesehen, die schon vor dem Patch von Microsoft befallen wurden. 2 weitere wurden von Donnerstag auf Freitag befallen.
Es gibt mehrere Varianten des Befalls. Es kann sich KEINER sicher sein das sein System nicht befallen ist da die Lücke schon seit Januar ausgenutzt wurde. Microsoft hat nur jetzt reagiert, weil ein Massenangriff gestartet wurde.
Eine Variante des Hacks hat Task in der Aufgabenplanung alle 45min gestartet und sich auf weitere Server verteilt. Wenn zu weit eingedrungen wurde mit dem Hack reicht es nicht den Exchange neu zu installieren. Dann muss das ganze Active-Directory neu installiert werden.
Falls weitere Infos benötigt werden kein Problem, einfach hier kommentieren. Ich habe schon über 30 Systeme seit letzten Mittwoch analysiert und verzweifelten Admins bei Updates, Lückenerkennung weiterhelfen können.
Wichtig ist für alle Exchange-Betreiber nur, das man SOFORT reagiert, da es meines Erachtens leider schon zu spät ist.