In den letzten Wochen haben Microsoft und andere in der Sicherheitsbranche gesehen, dass es zu einer Zunahme von Angriffen auf lokale Exchange Server kam. Das Ziel dieser Angriffe ist ein Typ von E-Mail-Servern, der am häufigsten von kleinen und mittleren Unternehmen verwendet wird, doch auch größere Organisationen mit lokalen Exchange Servern sind betroffen. Exchange Online ist für diese Angriffe nicht anfällig.
Während es sich zunächst um einen nationalstaatlichen Angriff handelte, werden die Schwachstellen nun auch von anderen kriminellen Organisationen ausgenutzt, einschließlich neuer Ransomware-Angriffe, die das Potenzial für weitere schädliche Aktivitäten haben.
Dies ist ein breit angelegter Angriff von solcher Schwere, dass der Schutz der Systeme entscheidend ist. Microsoft stellt zwar regelmäßig Tools für Software-Updates zur Verfügung, aber diese außergewöhnliche Situation erfordert einen verschärften Ansatz. Zusätzlich zu unseren üblichen Software-Updates stellen wir auch spezielle Updates für ältere Software, deren Support eigentlich bereits endete, zur Verfügung.
Der erste Schritt ist es, sicherzustellen, dass alle relevanten Sicherheitsupdates auf jedem System installiert sind. Kunden sollen herausfinden, welche Version von Exchange Server sie nutzen und die entsprechenden Updates einspielen. Dies bietet Schutz vor bekannten Angriffen und gibt der Organisation Zeit, die Server auf eine Version zu aktualisieren, die ein vollständiges Sicherheitsupdate enthält.
Der nächste entscheidende Schritt besteht darin, festzustellen, ob Systeme kompromittiert wurden, und wenn ja, diese aus dem Netzwerk zu entfernen. Wir haben eine Reihe von empfohlenen Schritten und Tools zur Verfügung gestellt, die dabei helfen können – darunter Skripte, mit denen nach Anzeichen für eine Kompromittierung gesucht werden kann, eine neue Version des Microsoft Safety Scanners zur Identifizierung von mutmaßlicher Malware und eine neue Liste von Indicators of Compromise (IOCs, Deutsch: Kompromittierungsindikatoren), die in Echtzeit aktualisiert und breit geteilt wird. Diese Tools sind jetzt verfügbar, und wir empfehlen allen Kunden, sie einzusetzen.
Unser Kundenservice-Team hat rund um die Uhr mit Hosting-Unternehmen und unserer Partner-Community zusammengearbeitet, um potenziell betroffene Kunden zu sensibilisieren. Mit Hilfe der Community arbeiten wir daran, das Bewusstsein für diese kritischen Updates und Tools bei mehr als 400.000 Kunden zu schärfen.
Um das Ausmaß dieses Angriffs zu veranschaulichen und den Fortschritt bei der Aktualisierung der Systeme zu zeigen, haben wir mit RiskIQ zusammengearbeitet. Basierend auf der Telemetrie von RiskIQ sahen wir am 1. März eine Gesamtsumme von fast 400.000 Exchange-Servern. Am 9. März waren noch etwas mehr als 100.000 Server verwundbar. Diese Zahl ist stetig gesunken, so dass nur noch etwa 82.000 Server aktualisiert werden müssen. Am 11. März haben wir weitere Updates zur Verfügung gestellt und damit nun Updates für mehr als 95 % aller über das Internet erreichbaren Versionen veröffentlicht.
Schließlich versuchen Gruppen, diese Schwachstelle auszunutzen, um Ransomware und andere Malware einzuschleusen, die die Geschäftskontinuität unterbrechen könnte. Um sich bestmöglich dagegen zu schützen, empfehlen wir allen Kunden, die Ransomware-Anleitung der U.S. Cybersecurity Agency and Infrastructure Security sowie Microsofts Anleitung zur Vorbereitung auf und zum Schutz vor dieser Art von Exploit zu lesen.
Dies ist das zweite Mal innerhalb der letzten vier Monate, dass staatliche Akteure Cyberangriffe durchgeführt haben, die das Potenzial haben, Unternehmen und Organisationen jeder Größe zu beeinträchtigen. Wir beobachten diese ausgeklügelten Angriffe weiterhin genau und nutzen die Breite und Tiefe unserer Technologie, unserer menschlichen Expertise und unserer Bedrohungsdaten, um solche Angriffe besser zu verhindern, zu erkennen und zu reagieren.
Microsoft ist fest entschlossen, unsere Kunden beim Kampf gegen diese Angriffe zu unterstützen, unseren Sicherheitsansatz weiterzuentwickeln und eng mit Regierungen und der Sicherheitsbranche zusammenzuarbeiten, um die Sicherheit unserer Kunden und Communities zu gewährleisten.
Ein Beitrag des Microsoft Security Threat Response Teams
