Thorsten Christoffers 
Christian Frielingsdorf 
Frank Schmitz Der Hersteller Microsoft hat aktuell mehrere Sicherheitslücken in den Exchange Server Versionen 2010, 2013, 2016 und 2019 identifiziert, die bereits aktiv ausgenutzt werden. Neben der Installation der Sicherheits-Updates sollten Sie im Vorfeld überprüfen, ob die Schwachstelle auf Ihren Exchange Servern möglicherweise bereits ausgenutzt wird. Ist dies der Fall sollten weitere Maßnahmen getroffen werden. Dieses Update bezieht sich auf den Artikel vom 04.03.2021.
Was ist zu tun?
Sie sollten dieses Script vor der Installation der Updates durchführen. Microsoft stellt über Github ein Script bereit, mit Hilfe dessen Sie überprüfen können, ob die Schwachstellen auf Ihren Systemen möglicherweise bereits ausgenutzt werden.
Das Script analysiert die Logdateien auf Ihren Exchange Servern nach Anzeichen einer Kompromittierung. Werden Anzeichen gefunden, zeigt das Script entsprechende Warnungen an und erstellt eine CSV-Datei mit weiteren Informationen, sofern Sie von der CVE-2021-26855 betroffen sind.
Bitte führen Sie das Script auf allen Servern aus, da nur die lokalen Logfiles ausgelesen werden!
Was ist zu tun, wenn meine Systeme vermeintlich bereits kompromittiert sind?
In diesem Fall, sollten auf Ihren Exchange Servern implementierte Cleanup Scripte, pausieren damit Logdateien für eine tiefergehende Analyse nicht gelöscht werden. Außerdem sollten Sie zeitnah den Dienstleister Ihres Vertrauens mit einer weiteren Analyse des Vorfalls beauftragen.
Weiterführende Informationen
Für das Video klicken Sie bitte auf das Bild. Sie werden auf YouTube weitergeleitet.
Quelle: Matt Soseman // Microsoft Mitarbeiter
Die Bedrohungen durch CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 & CVE-2021-27065 erfordern zeitnahes Handeln! Daher empfehlen wir Ihnen, sich direkt mit dem IT-Partner Ihres Vertrauens in Verbindung zu setzen.
