Zur Startseite gehen
0,00 €*

Neue Angriffswelle auf Exchange-Server via 0-Day-Exploits Hafnium - schützen Sie sich mit Sophos MTR

von: Sven Berger | 9. März 2021

Die gute Nachricht ist, dass Microsoft bereits ein Exchange-Sicherheitsupdate zum Schutz vor Angriffen mittels Hafnium herausgegeben hat. Die schlechte Nachricht ist, dass allein in Deutschland 65.000 Server offen aus dem Internet erreichbar waren und am 10. März noch mehr als 25.000 Exchange-Server in Deutschland potentiell betroffen  sind. Das BSI sagt, dass Unternehmen potentiell davon ausgehen sollen, dass man betroffen ist. Zudem haben die Exchange Server oftmals im Netzwerk Schreibzugriffe, auch wenn das eigentlich nicht notwendig ist. Das führt dazu, dass sich der Angriff im Netzwerk verbreiten kann. Der erste Schritt ist definitiv, dass Backups zu machen, dann die verfügbaren Microsoft Patches in jedem Fall unverzüglich einspielen, wenn das noch nicht geschehen sein sollte. Dennoch kann der Angriff im Netzwerk weiter fortgeführt werden, wenn Ihr Exchange Server betroffen war. Microsoft hat ein Test-Skript veröffentlicht, mit dem Sie testen können, ob Sie betroffen sind. Alternativ können Sie das auch mittels Sophos Intercept X Advanced with EDR prüfen (siehe unten). Wenn Ihr Exchange Server betroffen war, dann sollten Sie herausfinden, was der Angreifer gemacht hat. Eventuell besteht auch eine Meldepflicht nach DSGVO, das sollte ebenfalls geprüft werden, um den datenschutzrechtlichen Verpflichtungen nachzukommen. Mit Sophos Intercept X Advanced with EDR steht Ihnen ein perfekt geeignetes Tool zur Überprüfung Ihres Netzwerks zur Verfügung. Sollten Sie noch kein Kunde sein, dann können Sie die Lösung dennoch sofort nutzen, wenn Sie einen kostenfreien Test von Intercept X Advanced mit EDR starten. Das können Sie hier tun, diesen können Sie jederzeit weiterführen, indem Sie die Intercept X Lizenz kaufen und aktivieren. Jedoch ist auch Intercept X Advanced with EDR nur so gut, wie Sie es bedienen und nutzen. Alternativ können Sie auf die Profis von Sophos zurückgreifen und durch Sophos Central Intercept X Advanced mit EDR und MTR Advanced  den vollen Schutz des Threat-Hunting Teams von Sophos erhalten. Wenn es wirklich brennt und Sie nicht mehr selbst die Sicherheit Ihrer Systeme garantieren können, können Ihnen im Notfall das Sophos Rapid Response Team helfen. Die schnelle Eingreiftruppe von Sophos kann Ihnen helfen, die Integrität Ihrer Exchange Server und Ihres gesamten Netzwerks wieder herzustellen. 

Generell hat laut Microsoft Hafnium seinen Sitz in China, führt aber seine Operationen hauptsächlich von gemieteten virtuellen privaten Servern (VPS) in den Vereinigten Staaten aus. Dabei werden durch Hafnium eine Reihe von Angriffen mit bisher unbekannten Exploits durchgeführt, die auf lokale Exchange Server-Software abzielen. Betroffen sind on-premise Microsoft Exchange-Server der Versionen 2013, 2016 und 2019. Bislang ist Hafnium der Hauptakteur, durch welchen die Exploits verwendet werden.

Demnach umfassen die Angriffe auf den Exchange Server drei Schritte:

  1. Hafnium verschafft sich Zugang zum Exchange Server, entweder mit gestohlenen Passwörtern oder indem er zuvor unentdeckte Schwachstellen (Zero-Day-Attack) nutzt, um sich als jemand auszugeben, der oder die eigentlich Zugang haben sollte. Organisationen können sich davor schützen, indem sie vertrauenswürdige Verbindungen einschränken oder einen VPN einrichten, um den Exchange Server vom externen Zugriff zu trennen. Diese Maßnahmen können jedoch nur vor dem ersten Schritt eines Hafnium-Angriffs schützen. Die weiteren Angriffsschritte können ausgelöst werden, wenn ein Angreifer bereits Zugriff hat oder eine*n Administrator*in dazu bringen kann, eine schädliche Datei auszuführen.
  2. Dann erstellt Hafnium eine sogenannte Web-Shell, um den kompromittierten Server aus der Ferne zu steuern.
  3. Den Fernzugriff nutzt Hafnium – ausgeführt von den privaten Servern in den USA –, um Daten aus dem Netzwerk einer Organisation zu stehlen.

Quelle: https://news.microsoft.com/de-de/hafnium-sicherheitsupdate-zum-schutz-vor-neuem-nationalstaatlichem-angreifer-verfuegbar/

Sophos hat bereits in der letzten Woche reagiert, und die Sophos IPS Module in der Sophos XG-Firewall, Sophos UTM und auch den Cyberoam Appliances die erforderlichen IPS Signaturen herausgegeben. Dazu können Sie hier weitere Informationen finden:

https://docs.sophos.com/releasenotes/output/en-us/nsg/IPSReleaseNotes/9.17.93_s.pdf

IPS Signatur Release Notes, v.9.17.93 (XG85 - X450, SG105 - SG650): https://docs.sophos.com/releasenotes/output/en-us/nsg/IPSReleaseNotes/9.17.93_s.pdf

IPS Signatur Releaes Notes v.7.17.93 (XG550 – XG750): https://docs.sophos.com/releasenotes/output/en-us/nsg/IPSReleaseNotes/7.17.93_s.pdf

IPS Signatur IPS Rules (UTM): https://lists.astaro.com/ASGV9-IPS-rules.html#221 > “Server / Mail / Microsoft Exchange”

Microsoft hat ein Skript zum Test herausgebracht https://github.com/microsoft/CSS-Exchange/tree/main/Security - testen Sie damit, ob Ihr Exchange Server betroffen ist.

Bitte beachten Sie, dass Microsoft zwar umgehend ein Sicherheitsupdate bereitgestellt hat, doch die Gefahr ist damit nicht gebannt: Selbst wenn Sie im Unternehmen das Update schnell eingespielt haben, waren die Hacker oft schneller und befinden sich bereits (unerkannt) im System. Betroffene Unternehmen bemerken dies oft nicht, weil ihre Schutzlösung dies nicht erkennt. Es besteht somit Handlungsbedarf. 

Die gute Nachricht: Haben Sie Sophos Intercept X Advanced und Intercept X Advanced mit EDR auf Ihren Servern installiert, sind Sie vor dem Angriff geschützt, wenn alle entsprechenden Sicherheitsfunktionen in den Richtlinien aktiviert sind. Deep Learning und gängige Exploit Prevention Module sind dabei unumgänglich, um vor einen potenziellen Angriff geschützt zu sein. Deshalb überprüfen Sie bitte, ob die entsprechenden Sicherheitsrichtlinien aktiviert sind und verifizieren Sie bitte die Einstellungen bei allen Endgeräten, speziell bei den Exchange Servern.

Sollten Sie vom Hafnium Exploit betroffen sein, kann Ihnen Sophos Rapid Response bzw. Sophos Managed Threat Response Team helfen. Wir stellen gerne den entsprechenden Kontakt her und können auch bei der Überprüfung behilflich sein, ob Sie betroffen sind. Bitte melden Sie sich per Email service@ito-consult.de oder per Telefon +49 351 81077-50, wir helfen Ihnen gerne und vermitteln ggf. auch den Kontakt zum Sophos Rapid Response Team.

Autor: Sven Berger

20+ Jahre IT-Sicherheits-Experte, Prokurist, Leitung des Bereichs IT-Sicherheit der ito consult GmbH/ UTMshop
Zertifizierungen: Dipl. Betriebswirt; Sophos Certified Architect

Produktgalerie überspringen

Zugehörige Produkte

Sophos Central Intercept X Advanced für Server
Sophos Central Intercept X Advanced für Server
Unbekannte Bedrohungen blockieren Intercept X for Server ermöglicht dies mit Deep Learning, einer Sonderform des Machine Learning, das bekannte und unbekannte Malware ohne Signaturen erkennen kann. Deep Learning macht Intercept X for Server intelligenter, skalierbarer und effektiver im Kampf gegen völlig unbekannte Bedrohungen. Deep Learning macht Intercept X for Server leistungsstärker als Security-Lösungen, die sich allein auf herkömmliches Machine Learning oder eine signaturbasierte Erkennung verlassen. Ransomware im Keim ersticken Die Anti-Ransomware-Funktionen von Intercept X for Server erkennen schädliche Verschlüsselungsprozesse und stoppen diese, bevor sie sich im Netzwerk ausbreiten können. Sowohl dateibasierte als auch MBR(Master-Boot-Record)-Ransomware werden zuverlässig abgewehrt. Alle verschlüsselten Dateien werden in einen sicheren Zustand zurückversetzt, damit Ihre Mitarbeiter ohne Unterbrechung weiterarbeiten können und Ihre Geschäftskontinuität gewährleistet bleibt. Nach der Bereinigung erhalten Sie detaillierte Informationen, sodass Sie sehen können, wie die Bedrohung sich Zugriff verschafft hat, welche Bereiche betroffen waren und wann die Bedrohung beseitigt wurde. Sie möchten Sophos Central gerne sehen? Dann schauen Sie sich die Live Demo von Sophos Central hier an. Email: demo@sophos.com PW: Demo@sophos.com FunktionenIntercept X Essentials for ServerIntercept X Advanced for ServerIntercept X Advanced for Server with XDRIntercept X Advanced for Server with MTR StandardIntercept X Advanced for Server with MTR Advanced Verwaltung Mehrere Richtlinien           Gesteuerte Updates           Reduzierung der Angriffsfläche Application Control           Peripheral Control           Web Control/Kategoriebasierte URL-Blockierung           Application Whitelisting (Server Lockdown)           Download Reputation           Web Security           Vor Ausführung auf einem Gerät Deep-Learning-Malware-Erkennung           Anti-Malware-Dateiscans           Live Protection           Verhaltensanalysen vor Ausführung (HIPS)           Blockierung pot. unerwünschter Anwendungen (PUAs)           Intrusion Prevention System (IPS)           Stoppen von Bedrohungen bei Ausführung Data Loss Prevention           Laufzeit-Verhaltensanalyse (HIPS)           Antimalware Scan Interface (AMSI)           Malicious Traffic Detection (MTD)           Exploit Prevention           Active Adversary Mitigations           Ransomware File Protection (CryptoGuard)           Disk and Boot Record Protection (WipeGuard)           Man-in-the-Browser Protection (Safe Browsing)           Enhanced Application Lockdown           Erkennung Live Discover (umgebungsübergreifende SQL-Abfragen zum Threat Hunting und zur Einhaltung von Sicherheitsvorgaben)           SQL-Abfragen-Library (vorformulierte, individuell anpassbare Abfragen)           Datenspeicherung auf Festplatte (bis zu 90 Tage) mit schnellem Datenzugriff           Produktübergreifende Datenquellen (z. B. Firewall, E-Mail)           Liste mit nach Priorität geordneten Erkennungen           Sophos Data Lake (Cloud-Datenspeicher)     30 Tage 30 Tage 30 Tage Geplante Abfragen           Analyse Bedrohungsfälle (Ursachenanalyse)           Deep Learning-Malware-Analyse           Erweiterte Bedrohungsdaten aus den SophosLabs auf Abruf           Export forensischer Daten           KI-gesteuerte Analysen           Bereinigung Automatisierte Malware-Entfernung           Synchronized Security Heartbeat           Sophos Clean           Live Response (Remote-Terminal-Zugriff für weitere Analysen und Reaktionsmaßnahmen)           On-Demand-Server-Isolation           Mit einem Klick „Entfernen und blockieren“           Transparenz Cloud Workload Protection (Amazon Web Services, Microsoft Azure, Google Cloud Platform)           Synchronized Application Control (Transparenz über Anwendungen)           Verwaltung Ihres Sicherheitsstatus in der Cloud (Cloud Hosts überwachen und schützen, serverlose Funktionen, S3-Buckets etc.)           Laufzeitbasierte Container-Transparenz und -Erkennungen           Zugriff/Berechtigung Update Cache und Message Relay           Automatische Scan-Ausnahmen           File Integrity Monitoring           Managed Service 24/7 indizienbasiertes Threat Hunting           Security Health Checks           Datenspeicherung           Aktivitätsreports           Angriffserkennung           Beseitigung von Bedrohungen und Bereinigung           24/7 indizienloses Threat Hunting           Threat Response Team Lead           Direkter Telefon-Support           Proaktives Security Posture Management           Ransomware File Protection (CryptoGuard)          
97,93 €*
Details
Sophos Central Intercept X Advanced für Server mit XDR
Sophos Central Intercept X Advanced für Server mit XDR
Unbekannte Bedrohungen blockieren Intercept X for Server ermöglicht dies mit Deep Learning, einer Sonderform des Machine Learning, das bekannte und unbekannte Malware ohne Signaturen erkennen kann. Deep Learning macht Intercept X for Server intelligenter, skalierbarer und effektiver im Kampf gegen völlig unbekannte Bedrohungen. Deep Learning macht Intercept X for Server leistungsstärker als Security-Lösungen, die sich allein auf herkömmliches Machine Learning oder eine signaturbasierte Erkennung verlassen. Ransomware im Keim ersticken Die Anti-Ransomware-Funktionen von Intercept X for Server erkennen schädliche Verschlüsselungsprozesse und stoppen diese, bevor sie sich im Netzwerk ausbreiten können. Sowohl dateibasierte als auch MBR(Master-Boot-Record)-Ransomware werden zuverlässig abgewehrt. Alle verschlüsselten Dateien werden in einen sicheren Zustand zurückversetzt, damit Ihre Mitarbeiter ohne Unterbrechung weiterarbeiten können und Ihre Geschäftskontinuität gewährleistet bleibt. Nach der Bereinigung erhalten Sie detaillierte Informationen, sodass Sie sehen können, wie die Bedrohung sich Zugriff verschafft hat, welche Bereiche betroffen waren und wann die Bedrohung beseitigt wurde. Sie möchten Sophos Central gerne sehen? Dann schauen Sie sich die Live Demo von Sophos Central hier an. Email: demo@sophos.com PW: Demo@sophos.com FunktionenIntercept X Essentials for ServerIntercept X Advanced for ServerIntercept X Advanced for Server with XDRIntercept X Advanced for Server with MTR StandardIntercept X Advanced for Server with MTR Advanced Verwaltung Mehrere Richtlinien           Gesteuerte Updates           Reduzierung der Angriffsfläche Application Control           Peripheral Control           Web Control/Kategoriebasierte URL-Blockierung           Application Whitelisting (Server Lockdown)           Download Reputation           Web Security           Vor Ausführung auf einem Gerät Deep-Learning-Malware-Erkennung           Anti-Malware-Dateiscans           Live Protection           Verhaltensanalysen vor Ausführung (HIPS)           Blockierung pot. unerwünschter Anwendungen (PUAs)           Intrusion Prevention System (IPS)           Stoppen von Bedrohungen bei Ausführung Data Loss Prevention           Laufzeit-Verhaltensanalyse (HIPS)           Antimalware Scan Interface (AMSI)           Malicious Traffic Detection (MTD)           Exploit Prevention           Active Adversary Mitigations           Ransomware File Protection (CryptoGuard)           Disk and Boot Record Protection (WipeGuard)           Man-in-the-Browser Protection (Safe Browsing)           Enhanced Application Lockdown           Erkennung Live Discover (umgebungsübergreifende SQL-Abfragen zum Threat Hunting und zur Einhaltung von Sicherheitsvorgaben)           SQL-Abfragen-Library (vorformulierte, individuell anpassbare Abfragen)           Datenspeicherung auf Festplatte (bis zu 90 Tage) mit schnellem Datenzugriff           Produktübergreifende Datenquellen (z. B. Firewall, E-Mail)           Liste mit nach Priorität geordneten Erkennungen           Sophos Data Lake (Cloud-Datenspeicher)     30 Tage 30 Tage 30 Tage Geplante Abfragen           Analyse Bedrohungsfälle (Ursachenanalyse)           Deep Learning-Malware-Analyse           Erweiterte Bedrohungsdaten aus den SophosLabs auf Abruf           Export forensischer Daten           KI-gesteuerte Analysen           Bereinigung Automatisierte Malware-Entfernung           Synchronized Security Heartbeat           Sophos Clean           Live Response (Remote-Terminal-Zugriff für weitere Analysen und Reaktionsmaßnahmen)           On-Demand-Server-Isolation           Mit einem Klick „Entfernen und blockieren“           Transparenz Cloud Workload Protection (Amazon Web Services, Microsoft Azure, Google Cloud Platform)           Synchronized Application Control (Transparenz über Anwendungen)           Verwaltung Ihres Sicherheitsstatus in der Cloud (Cloud Hosts überwachen und schützen, serverlose Funktionen, S3-Buckets etc.)           Laufzeitbasierte Container-Transparenz und -Erkennungen           Zugriff/Berechtigung Update Cache und Message Relay           Automatische Scan-Ausnahmen           File Integrity Monitoring           Managed Service 24/7 indizienbasiertes Threat Hunting           Security Health Checks           Datenspeicherung           Aktivitätsreports           Angriffserkennung           Beseitigung von Bedrohungen und Bereinigung           24/7 indizienloses Threat Hunting           Threat Response Team Lead           Direkter Telefon-Support           Proaktives Security Posture Management           Ransomware File Protection (CryptoGuard)          
127,32 €*
Details

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung