Zwei Monate bis zum Patch
Security Update für Microsoft Exchange Server
Fortsetzung des Artikels von Teil 1
Das sollten Unternehmen jetzt tun:
Palo Alto Networks empfiehlt Unternehmen, das folgende Playbook zu befolgen, um auf diese potenzielle Bedrohung in ihren Umgebungen zu reagieren.
1) Alle Exchange Server lokalisieren und bestimmen, ob sie gepatcht werden müssen.
Exchange Online ist nicht betroffen. Zu den anfälligen Exchange Server-Versionen gehören 2013, 2016 und 2019. Während Exchange 2010 nicht für die gleiche Angriffskette anfällig ist wie Exchange 2013/2016/2019, hat Microsoft für diese Version einen Patch für CVE-2021-26857 veröffentlicht. Microsoft hat kürzlich zusätzliche Hinweise für ältere, nicht unterstützte Versionen von Exchange veröffentlicht.
Microsoft hat Informationen zu den Updates für die folgenden spezifischen Versionen von Exchange Server veröffentlicht:
Exchange Server 2019 – Update erfordert Cumulative Update (CU) 8 oder CU 7.
Exchange Server 2016 – Update erfordert CU 19 oder CU 18.
Exchange Server 2013 – Update erfordert CU 23.
Exchange Server 2010 – Update erfordert SP 3 oder eine beliebige SP 3 RU, dies ist ein Defense in Depth-Update.
2) Patchen und Sichern aller Exchange Server.
Unternehmen sollten die Out-of-Band-Sicherheitsupdates für ihre Version von Exchange Server installieren. Wenn sie einen Exchange Server nicht sofort aktualisieren und/oder patchen können, gibt es einige Abschwächungen und Umgehungen, die die Chancen eines Angreifers, einen Exchange Server auszunutzen, verringern können; diese Abschwächungen sollten nur vorübergehend sein, bis das Patchen abgeschlossen werden kann. Palo Alto Networks Next-Generation Firewalls (NGFWs), die auf Threat Prevention Content Pack 8380 oder höher aktualisiert wurden, schützen vor diesen Schwachstellen, wenn die SSL-Entschlüsselung für den eingehenden Verkehr zum Exchange Server aktiviert ist. Cortex XDR, das auf dem Exchange Server ausgeführt wird, erkennt und verhindert Webshell-Aktivitäten, die häufig bei diesen Angriffen verwendet werden.
3) Feststellen, ob ein Exchange Server bereits kompromittiert wurde.
Diese Schwachstellen werden aktiv ausgenutzt, wobei die ersten Hinweise auf eine Ausnutzung auf den 3. Januar zurückgehen. Jedes Unternehmen, das die anfällige Software einsetzt, muss prüfen, ob sein Server gefährdet ist. Das Patchen des Systems wird keine Malware entfernen, die bereits auf dem System installiert ist. Bis zum Beweis des Gegenteils sollte man davon ausgehen, dass Exchange Server, die Outlook Web Access oder Exchange Web Services dem Internet ausgesetzt haben, kompromittiert sind.
4) Einschalten eines Incident-Response-Teams bei Verdacht einer Kompromittierung.
Wenn Unternehmen zu irgendeinem Zeitpunkt glauben, dass ihr Exchange Server kompromittiert wurde, sollten sie dennoch Maßnahmen ergreifen, um ihn gegen die oben beschriebenen Schwachstellen zu schützen. Dies wird verhindern, dass weitere Angreifer das System kompromittieren. Die Installation der Out-of-Band-Sicherheitsupdates für die jeweilige Version von Exchange Server ist sehr wichtig, aber dadurch wird keine bereits auf den Systemen installierte Malware entfernt und keine im Netzwerk vorhandenen Bedrohungsakteure werden vertrieben.
Unternehmen, die glauben, dass sie kompromittiert wurden, sollten ihren Incident-Response-Plan in Kraft setzen.
- Security Update für Microsoft Exchange Server
- Das sollten Unternehmen jetzt tun:
Lesen Sie mehr zum Thema
