Im Januar 2021 richteten sich mehrere weltweite Cyberangriffe gegen Schwachstellen in den Versionen 2010, 2013, 2016 und 2019 von Microsoft Exchange Server. Die ProxyLogon-Sicherheitslücke in Exchange Server ermöglicht es Angreifern, E-Mails von einem physischen Exchange-Server vor Ort ohne Authentifizierung zu lesen. Darüber hinaus bietet sie einen Weg für mehrstufige Angriffe, die den Mailserver des Opfers vollständig kompromittieren können, indem sie zusätzliche Schwachstellen ausnutzen.
Microsoft veröffentlichte am 2. März 2021 Updates, um die Sicherheitslücken zu schließen. Zehn Tage später gab das Unternehmen jedoch bekannt, dass Ransomware auf den ursprünglich infizierten Servern eingesetzt worden war. Die Ransomware verschlüsselte Dateien und machte sie unbrauchbar, bis eine Zahlung eingegangen war. Tatsächlich berichten mehrere Organisationen, die von der Exchange Server-Sicherheitslücke betroffen waren – darunter ACER, Buffalo Public Schools und Molson Coors Beverage Company – von nachfolgenden REvil-Ransomware-Angriffen.
Natürlich wirft dieser hochentwickelte Angriff die Frage auf, ob die Sicherheitslücke im Exchange Server letztendlich auch Auswirkungen auf Ihr Unternehmen haben könnte, beispielsweise über Ihre Lieferanten, Zulieferer und andere Dritte.
| Frage | Mögliche Antworten |
|---|---|
| 1) Ist die Organisation von der jüngsten Sicherheitslücke „Microsoft Exchange ProxyLogon“ betroffen?
(Bitte wählen Sie eine Option aus) |
a) Ja, wir sind von der jüngsten Sicherheitslücke in Microsoft Exchange ProxyLogon betroffen.
b) Nein, wir sind von der kürzlich aufgetretenen Sicherheitslücke „Microsoft Exchange ProxyLogon“ nicht betroffen. c) Die Organisation ist sich nicht sicher, ob sie von der kürzlich aufgetretenen Microsoft Exchange ProxyLogon-Sicherheitslücke betroffen ist. |
| 2) Hat die Organisation die kürzlich von Microsoft veröffentlichten Patches auf den betroffenen Systemen installiert?
(Bitte wählen Sie eine Option aus) |
a) Ja, die Organisation hat die von Microsoft veröffentlichten Patches bezogen, getestet und erfolgreich installiert.
b) Nein, die Organisation hat die von Microsoft veröffentlichten Patches noch nicht bezogen, getestet und installiert. c) Die Organisation ist nicht in der Lage, die von Microsoft bereitgestellten Updates zu installieren. |
| 3) Wenn die Organisation die empfohlenen Updates nicht installieren kann, wurden die folgenden Maßnahmen auf der Grundlage der von Microsoft vorgeschlagenen Maßnahmen zur Minderung von Server-Sicherheitslücken ergriffen?
(Bitte alle zutreffenden Antworten auswählen) |
a) Implementieren Sie eine IIS-Umschreibungsregel, um bösartige HTTPS-Anfragen zu filtern.
b) Deaktivieren Sie Unified Messaging (UM). c) Deaktivieren Sie den Exchange-Systemsteuerungs-VDir (ECP). d) Deaktivieren Sie das Offline-Adressbuch (OAB) VDir. e) Die Organisation ist nicht in der Lage, die von Microsoft empfohlenen Abhilfemaßnahmen anzuwenden. |
| 4) Wenn die Organisation nicht in der Lage ist, die empfohlenen Updates zu installieren oder die von Microsoft empfohlenen Abhilfemaßnahmen anzuwenden, wurden die folgenden Maßnahmen ergriffen?
(Bitte alle zutreffenden Antworten auswählen) |
a) Blockieren nicht vertrauenswürdiger Verbindungen zum Exchange-Server-Port 443.
b) Wenn bereits sichere Fernzugriffslösungen vorhanden sind, Exchange so konfigurieren, dass es nur über diese Lösung remote verfügbar ist. |
| 5) Hat die Organisation gemäß den Microsoft-Richtlinien proaktiv Systeme auf Anzeichen einer Kompromittierung überprüft?
(Bitte alle zutreffenden Antworten auswählen) |
a) Die Organisation nutzt die „Leitlinien für Responder: Untersuchung und Behebung von Schwachstellen in lokalen Exchange-Servern“ als Hilfe bei der Behebung von Schwachstellen.
b) Die Organisation hat das Microsoft Exchange On-Premises Mitigation Tool (EOMT) installiert, um Systeme zu identifizieren, die Anzeichen einer Kompromittierung aufweisen. c) Die Organisation hat das TLP WHITE-Beratungsdokument von CISA und FBI konsultiert, um die Schwachstellen weiter zu untersuchen und zu mindern. |
| 6) Verfügt die Organisation über einen Plan zur Untersuchung und Reaktion auf Vorfälle?
(Bitte alle zutreffenden Antworten auswählen) |
a) Die Organisation verfügt über eine dokumentierte Richtlinie für das Management von Zwischenfällen.
b) Die Richtlinie für das Management von Zwischenfällen enthält Regeln für die Meldung von Ereignissen und Schwachstellen in der Informationssicherheit. c) Im Rahmen der Untersuchung und Wiederherstellung von Vorfällen wird ein Reaktionsplan entwickelt. d) Die Reaktionsplanung auf Vorfälle umfasst Eskalationsverfahren für interne Stellen und Kommunikationsverfahren für Kunden. |
| 7) Wer ist als Ansprechpartner für weitere Fragen zuständig? | Name: Titel: E-Mail: Telefon: |
| 8) Wie stark sind die Kundensysteme und -daten von dieser Sicherheitslücke betroffen?
(Bitte wählen Sie eine Option aus) |
a) Diese Sicherheitslücke hatte keine Auswirkungen auf Kundensysteme oder -daten.
b) Diese Sicherheitslücke hatte nur geringe Auswirkungen auf Kundensysteme oder -daten. c) Diese Sicherheitslücke hat erhebliche Auswirkungen auf Kundensysteme oder -daten. d) Diese Sicherheitslücke hatte erhebliche Auswirkungen auf Kundensysteme oder -daten. |
Drei Deckungsstufen, um Verstößen durch Dritte einen Schritt voraus zu sein
Die Microsoft Exchange ProxyLogon-Sicherheitslücke ist ein wichtiger Hinweis darauf, dass die Abschwächung der Auswirkungen von Angriffen auf Ihre Drittanbieter mehrere Ebenen der proaktiven und reaktiven Erkennung erfordert. Hier sind drei Ebenen der Abdeckung, die wir für unerlässlich halten:
1. Überwachung der Offenlegung von Datenschutzverletzungen durch Dritte
Die Einrichtung einer kontinuierlichen Überwachung von Offenlegungen von Datenschutzverletzungen durch Dritte, aktuellen Nachrichten und behördlichen und rechtlichen Meldungen ist ein wichtiger erster Schritt, um qualitative Indikatoren für mögliche Sicherheitsverletzungen zu erhalten. Die bloße Überwachung von Nachrichtenseiten und Social-Media-Beiträgen oder das Abrufen täglicher Updates aus einem RSS-Feed reicht jedoch nicht aus, um die Auswirkungen solcher Meldungen zu quantifizieren oder zu analysieren und entsprechend zu reagieren. Aus diesem Grund ist es wichtig, qualitative Erkenntnisse aus einem zentralisierten Dienst zu gewinnen, der Hunderttausende öffentlicher und privater Quellen umfasst und es Ihnen ermöglicht, die Daten in einem einheitlichen Risikoregister zusammenzuführen.
2. Überwachen Sie andere Indikatoren für Cyber-Sicherheitsverletzungen.
Das Scannen öffentlich zugänglicher Websites von Anbietern nach Schwachstellen deckt nur einen kleinen Teil der Risiken auf, denen diese (und damit auch Sie) ausgesetzt sind. Gehen Sie noch einen Schritt weiter und überwachen Sie kriminelle Foren, Onion-Seiten, spezielle Zugangsforen im Deep Dark Web, Threat Feeds, Paste-Seiten für geleakte Zugangsdaten sowie Sicherheits-Communities, Code-Repositorys und schließlich Schwachstellendatenbanken. Wie oben erwähnt, ist es jedoch zu komplex und zeitaufwändig, diese Aktivitäten selbst zu überwachen, selbst wenn Sie sich auf Ihre hochrangigen Lieferanten beschränken. Zentralisieren Sie diese Aktivitäten stattdessen in einem einzigen Dienst, der Cybersicherheitsinformationen überwacht und automatisch Korrekturmaßnahmen auf der Grundlage der Ergebnisse auslösen kann.
3. Ergänzen Sie punktuelle Bewertungen durch schnelle Reaktionen.
SolarWinds, Accellion und jetzt Microsoft Exchange. Hochkarätige Sicherheitsvorfälle und schädliche Verstöße, die sich auf Dritte auswirken, nehmen zu. Dennoch haben viele Unternehmen Schwierigkeiten, zeitnahe Benachrichtigungen über Auswirkungen von ihren Lieferanten zu erhalten. Dies kann die Erkennung und Minderung von Risiken verzögern und letztendlich zu unerwünschten Risiken führen. Warum? Bestehende Ansätze für die Benachrichtigung über Ereignisse bei Lieferanten sind sehr manuell, bieten Dritten keine Möglichkeit, ihr Risiko zu quantifizieren oder einen aussagekräftigen Kontext zum Vorfall zu liefern, und es fehlen verbindliche Richtlinien zur Behebung, um den Prozess der Risikominderung anzustoßen.
Wie kann Ihr Unternehmen Ihren Lieferanten dabei helfen, den Prozess der Ereignisbenachrichtigung zu beschleunigen? Bewerten Sie Ihre Lieferanten anhand eines anpassbaren Ereignisfragebogens, der automatisch durch Ereignisse ausgelöst wird, ihnen die proaktive Einreichung von Bewertungen ermöglicht und ihnen konkrete Maßnahmen zur Behebung vorschlägt, um die Auswirkungen eines Sicherheitsvorfalls schnell zu identifizieren und zu mindern.
All dies ist nicht möglich, wenn man nur Nachrichtenfeeds verfolgt oder Tabellen per E-Mail austauscht. Zentralisierte Bewertungsplattformen automatisieren die kritischen Aufgaben, die erforderlich sind, um Risiken aufgrund von Schwachstellen bei Anbietern schnell zu erkennen, zu quantifizieren und zu beheben – ohne Ihr Team zu überfordern.
Nächste Schritte
Laden Sie sich unbedingt die PDF-Datei „Third-Party Microsoft Exchange Server ProxyLogon Vulnerability Assessment” (Bewertung der Sicherheitslücke „ProxyLogon” in Microsoft Exchange Server von Drittanbietern) herunter. Wir hoffen, dass der Fragebogen Ihnen die Gewissheit gibt, dass Ihre Anbieter und Lieferanten die erforderlichen Maßnahmen zur Behebung dieser kritischen Sicherheitslücke umgesetzt haben.
Da Cyberangriffe, die auf diese Schwachstelle abzielen, mittlerweile auch Ransomware umfassen, sollten Sie unbedingt auch die kostenlose Ransomware-Bewertung von Prevalent herunterladen, um unmittelbare Lücken zu identifizieren, die die Reaktionsfähigkeit Ihres Unternehmens auf ähnliche Ransomware-Bedrohungen beeinträchtigen könnten.
Sobald sich die Lage beruhigt hat, denken Sie daran, dass Prevalent eine Risikomanagement-Plattform von Drittanbietern anbietet, die mehr als 60 Fragebogenvorlagen enthält, mit denen Sie die mühsamen Aufgaben der Lieferantenbewertung automatisieren können, und die Ergebnisse durch kontinuierliche Cyber- und Sicherheitsverletzungsüberwachung ergänzt. Kontaktieren Sie uns noch heute, um einen Termin für eine Strategiesitzung zu vereinbaren.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
