Sollten Sie einen MS-Exchange Server in Ihrer Praxis oder Kanzlei betreiben, so ist sehr wahrscheinlich auch bei Ihnen Alarmstufe “Rot” angesagt.
Bereits Anfang März 21 nutzt eine Hacker Gruppe namens Hafnium vier Sicherheitslücken in Microsoft Exchange Server und konnte damit hunderttausende Server angreifen. Daraufhin führte Microsoft einen Dienst ein der Emergency Mitigation (EM) heißt. Dieser schaltet angreifbare Funktionen ab und meidet die Folgen von etwaigen Angriffen. Der neue Dienst rollt sich automatisch auf die Server aus und wird direkt ausgeführt. Zum Beispiel blockiert er bestimmte Anfragen. Dies gilt für die Server Versionen 2016 und 2019. Sollten Sie in ihrer Kanzlei mit einem älteren Server arbeiten ist das ohnehin so, als ob sie die Kanzleieingangstür, sowie den Tresor dauerhaft offen stehen lassen würden.
Ihr Server macht anschließend nicht alles von alleine richtig und Administratoren müssen weiterhin manuell diese Funktion abschalten sobald neue Patches zur Verfügung stehen.
Aus diesem Grund verspricht Microsoft die EM-Funktion nur bei sehr kritischen Lücken zu verwenden.
Obwohl das EM Tool erfolgreich eingesetzt werden konnte wurden viele Administratoren von den Attacken übermannt. Selbst nach Wochen waren immer noch zehntausende verwundbare Server im Netz erreichbar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat diesbezüglich die höchste Bedrohungslage „Rot“ ausgerufen! Das sollte Sie auf jeden Fall dazu bewegen ihre Kanzlei-Administratoren eingehend zu befragen.
Microsoft bietet nun ein weiteres Tool an um das Problem in den Griff zu bekommen: Exchange On-promises Mitigation Tool (EOMT). Dieses kann ihrem Admin dabei helfen Schadcode zu finden und so genannte Back-Doors zu identifizieren.
An ihrer Stelle würde ich mich nicht darauf verlassen dass ihr Admin über dieses Wissen bereits verfügt, fragen Sie konkret nach – jetzt können Sie es. Sicher ist sicher.
Sollte es für eine neue Lücke bereits Angriffe aber noch keine Patches geben, so soll das EOMT verwundbare Server tatsächlich automatisch schützen. Diese so genannte Mitigation verspricht Microsoft nur bei sehr gefährlichen Sicherheitslücken einzusetzen.
Die weiteren umzusetzenden “Befehle” für ihren Admin finden sich in einer Dokumentation die man von hier aus aufrufen kann: https://www.ct.de/yvqe
Um solche Attacken schneller identifizieren zu können hat Microsoft seine Lizenzbedingungen geändert, um Daten über Sicherheitslücken früher entdecken und fixen zu können. Denn dafür müssen zusätzlich Daten analysiert und gespeichert werden.
Viel Erfolg beim Absichern Ihres MS-Exchange Servers!