Update | Kritische Sicherheitslücken auf Microsoft Exchange Servern

Durch Informationen von Microsoft und des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist kürzlich bekannt geworden, dass vier Zero-Day-Sicherheitslücken in Microsoft Exchange Servern existieren. Diese Lücken machen Unternehmen oder andere Verantwortliche über das Internet angreifbar, sobald sie Microsoft Exchange Server unter einer bestimmten Konfiguration einsetzen. Das BSI stuft diese Sicherheitslücke als kritisch ein, da sie bereits flächendeckend aktiv ausgenutzt wird und somit die Wahrscheinlichkeit der Kompromittierung der betroffenen Systeme als realistisch anzusehen ist.

Bei einem erfolgreichen Angriff ist es möglich, dass es zur Ausführung von Schadsoftware kommt oder dass die Angreifer über die Sicherheitslücke Zugriff auf das Unternehmensnetzwerk erlangen können und in einer zweiten Welle Daten gezielt verschlüsseln. Über die Schwachstellen können Angreifer beispielsweise einen Remote-Zugriff auf den betroffenen Systemen einrichten und Schadcodes gezielt platzieren.  Damit erlangen sie potentiell Zugriff auf sämtliche Daten des angegriffenen Exchange Servers und weitere Systeme. E-Mail-Postfächer, Adressbücher und weitere Systeme können somit ausgelesen und gesteuert werden.    

Potentiell gefährdet sind Server mit selbst betriebenen Exchange Servern 2013, 2016 oder 2019 (sog. On-Premise-Systeme), falls diese über das Internet mit nicht-vertrauenswürdigen Verbindungen auf Port 443 erreichbar waren. Exchange Server, die nur per VPN erreichbar waren und nicht-vertrauenswürdige Verbindungen blockierten, sind demnach nach den vorliegenden Erkenntnissen nicht gefährdet. 

Betroffen sind laut Microsoft und BSI folgende Exchange-Server-Versionen:

• Exchange Server 2010 (RU 31 für Service Pack 3)
• Exchange Server 2013 (CU 23)
• Exchange Server 2016 (CU 19, CU 18)
• Exchange Server 2019 (CU 8, CU 7)

Zudem sind die Logfiles des Exchange Servers auf die Indicators of Compromise zu prüfen. Microsoft bietet dazu hier Hilfestellungen. Weiterführende Hinweise zur Prüfung einer möglichen Kompromittierung stellt das BSI mit seiner laufend aktualisierten Sicherheitswarnung "Mehrere Schwachstellen in MS Exchange" im Abschnitt "Maßnahmen" bereit.

Microsoft hat entsprechende Sicherheitsupdates bereitgestellt, die umgehend zu installieren sind. Da diese Updates ggf. nur für Server zur Verfügung stehen, auf denen auch die aktuellsten Updates laufen, ist es wichtig, dass bei allen Servern die aktuellsten Updates zeitnah installiert werden, um so die Sicherheitslücke zu schließen. Gerade nicht aktuell gehaltene Server sind hier sonst höchst problematisch. Auch nach erfolgreichem Einspielen der Patches muss bedacht werden, dass betroffene Organisationen in der Zwischenzeit angreifbar waren. Wir rechnen mit einer zweiten Welle, wenn Angreifer sich vorher festgesetzt haben! Entsprechend können wir gemeinsam mit Ihnen prüfen, inwieweit Unregelmäßigkeiten im Ihrem Betrieb festzustellen sind. Die eingespielten Updates blockieren die neu bekanntgegebenen Angriffswege, lassen aber bereits geschehene Cyberattacken nicht rückgängig machen. Die Wahrscheinlichkeit, dass Angreifer sich ungepatche Systeme annahmen und seitdem bereits im Netzwerk befinden, ist als sehr hoch anzusehen!

Grundsätzlich ja! Eine solche Meldung an die zuständige Datenschutzaufsichtsbehörde ist immer dann notwendig, wenn es zu einer Verletzung der Sicherheit personenbezogener Daten gekommen ist. Davon ist grds. auszugehen, wenn die Angreifer sich Zugriff auf die Adressbücher verschafft haben und auch weiter in das Unternehmensnetz eingedrungen sind. Wir helfen Ihnen bei der Beurteilung des Risikos, ob Sie konkret melden müssen und können eine rechtssichere Meldung bei der Aufsichtsbehörde für Sie verfassen. Selbst wenn nach der Überprüfung der eigenen Systeme kein meldepflichtiger Vorfall vorliegt, helfen wir, die für den Verzicht auf die Meldung maßgeblichen Feststellungen rechtssicher zu dokumentieren.

Müssen die betroffenen Personen, dessen Daten erlangt wurden, benachrichtigt werden?

Wir gehen momentan von einer Benachrichtigungspflicht aus, wenngleich diese Frage immer abhängig vom Einzelfall zu beantworten ist. Wir helfen, die eigenen Systeme und die Rahmenbedingungen zur Datenverarbeitung zu überprüfen, um einschätzen zu können, ob durch die Sicherheitslücke Daten kompromittiert wurden, bei denen sich beispielsweise durch die Offenlegung für die Betroffenen ein hohes Risiko ergibt. Wir können Sie unterstützen,  rechtssichere Benachrichtigungen an betroffene Personen zu verfassen oder die für eine Nicht-Benachrichtigung erforderliche Dokumentation anzufertigen.

1. Wir stehen mit unseren Spezialisten sofort zur Verfügung, um die kompromittierten Systeme von Schadcode zu befreien.
2. Die zweite Welle der Angreifer steht uns noch bevor. Nutzen Sie das pco Incident Response Team. Sie erreichen unsere Soforthilfe hier: 0541 605 1501
3. Wir unterstützen Sie bei der Migration Ihrer Microsoft Exchange OnPremise Installation in die sichere Cloud von Microsoft Exchange Online.
4. Wir haben ein Frühwarnsystem, welches wir in Ihrem Netzwerk integrieren können. Mit diesem Security Operation Center Service können Sie sicher auf unsere Ressourcen zurückgreifen.
5. Sie wissen nicht, ob personenbezogene Daten abhanden gekommen sind? Unsere Datenschutzexperten können Ihnen weiterhelfen.

Für weitere Informationen wenden Sie sich gerne an unseren Support. Diesen erreichen Sie unter der Nummer 0541 605 1501 oder unter der E-Mail support@pco-online.de.