Jump to main content

Massive Cyber-Angriffe vor allem auch in der Schweiz.

Erweiterte Kommunikation zu den diversen, bereits erfolgten Mitteilungen ab dem 03.03.2021

  • Kritische neue Sicherheitslücke
  • Kritische Schwachstelle im Bereich Exchange sowie in den Bereichen ESXi und vCenter
  • Grosse Gefahren für Unternehmen
  • Vermutlich weitere Cyber-Angriffe zu erwarten oder bereits im Gange

Wie bereits am 03.03.2021 exklusiv durch Neo One informiert, waren und sind diverse gefährliche Sicherheitslücken und Schwachstellen in zentralen Unternehmenssystemen vorhanden, welche ausgenutzt werden und werden können. In der Zwischenzeit hat, aufgrund der Kritikalität, sogar die US-Regierung eindringlich gewarnt und über die grossen Broadcaster wie CNN, direkt über die Pressstelle des Weissen Hauses und auch über andere Stellen darüber informiert und eindringlich empfohlen, die Lage sehr ernst zu nehmen (Medienberichte vom 06.03.2021, 07.03.2021 und 08.03.2021). Es sind rund 170'000 Serverumgebungen betroffen. Die Schweiz ist dabei besonders stark betroffen.

Zu beachten / Problemstellung

  • Der Exchange-Server und somit eines der zentralen Systeme für Unternehmen ist unter anderem davon betroffen (Outlook, Mails, Kalender, Handy in Zusammenhang mit Synchronisation von Mails, etc.)
  • Auch aktuelle Sicherheitslücken bei dem Virtualisierungssystem ESXi und der Verwaltung vCenter bergen Gefahren
  • Der Hersteller Microsoft stuft speziell das Problem im Bereich Exchange äusserst kritisch ein, namentlich Stufe 9.1 von 10
  • Die meisten Exchange-Server, welche zum Beispiel den Dienst OWA anbieten und direkt im Internet erreichbar sind (zum Beispiel, aber nicht nur, bei Synchronisation von Ihren Mails auf dem Handy), sind davon betroffen
  • Diese Sicherheitsanfälligkeiten werden als Teil einer Angriffskette verwendet
  • Der erste Angriff erfordert die Fähigkeit, eine nicht vertrauenswürdige Verbindung zum Exchange-Server-Port 443 herzustellen
  • Dies kann durch Einschränken nicht vertrauenswürdiger Verbindungen oder durch Einrichten eines VPN geschützt werden, um den Exchange-Server vom externen Zugriff zu trennen
  • Die Verwendung dieser Abschwächung schützt dann aber nur vor dem ersten Teil des Angriffs
  • Andere Teile der Kette können ausgelöst werden, wenn ein Angreifer bereits Zugriff hat, oder ein Administrator davon überzeugt werden kann, eine schädliche Datei auszuführen

Es wird dringend empfohlen wie bereits am 03.03.2021 informiert, die Installation von aktuellsten Updates per März 2021 auf externen Exchange-Servern zu priorisieren. Alle betroffenen Exchange-Server sollten letztendlich aktualisiert werden. Generell gilt es die ICT Security-Massnahmen im Unternehmen zu prüfen und auszubauen. Auch gilt es dringend, sämtliche Systeme stets aktuell zu halten.

Handlungsfelder für Ihr Unternehmen
Die Zunahme der Cyber-Risiken und Cyber-Attacken nimmt in den letzten Jahren, speziell aber in den letzten Monaten, markant zu. Wir verzeichnen in diesen Tagen eine der weltweit breitest angelegten Attacken überhaupt, da es sich für alle Benutzer um ein zentrales System zum Arbeiten handelt. Wir empfehlen Ihnen und Ihrem Unternehmen daher, folgendes intern zu prüfen und zu kommunizieren:

1. Informieren.
Bitten Sie Ihre Mitarbeitenden darum, gerade im Moment, besondere Vorsicht beim Surfen im Internet und beim Arbeiten mit den Mails walten zu lassen.

Grund:
Wir verzeichnen zusätzlich zu oben genannten Gefahren in den letzten Tagen und Wochen auch vermehrte Attacken per Mails und Versuche, im Internet User in die Irre zu führen.

2. Prüfen. Optimieren. Handeln.
Gehen Sie, wo immer möglich, die Optimierungen von ICT Sicherheitsthemen umgehend an. Lassen Sie Ihre ICT überprüfen, lancieren Sie Schwachstellenanalysen und oder Konzeptüberprüfungen.

Grund:
Jede Optimierung, welche erzielt werden kann und somit jede Massnahme, welche Sie vollziehen können, schützt Ihr Unternehmen zusätzlich.

3. Sensibilisieren.
Sensibilisieren Sie Ihre Mitarbeitenden fortlaufend auf das Thema. Schulungen, Kurzinformationen, lesen der kostenlosen Neo One Expert-Notes. Alles trägt einen Teil dazu bei.

Grund:
Je mehr die Thematik sensibilisiert wird in Ihrem Unternehmen, je stärker steigt die Sicherheit markant an. Selbst Kurzgespräche in den Pausen können helfen.

Von wem kommen die aktuellen Cyber-Angriffe?
Eine Hacker-Gruppierung namens Hafnium scheint aktuellen Kenntnissen zur Folge für die neusten Angriffe und Sicherheitslücken verantwortlich zu sein. Das Ziel, soweit es heute eingeschätzt werden kann, ist es Daten auszuspionieren, abzugreifen, Datenlecks auszunutzen.

Technische Detailinformationen im Überblick zum Exchange-Server
Übersicht, welche Updates eingespielt sein müssten, um eine bessere Sicherheit zu erlangen. 

  • Exchange 2010 (RU31 für Service Pack 3)
  • Exchange 2013 CU23
  • Exchange 2016 CU19, CU18
  • Exchange 2019 CU8, CU7

Referenz der Sicherheitslücken
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065, CVE-2021-27078

Detailinformationen im Überblick zu vCenter und ESXi

vCenter Server

  • Der Hersteller VMware hat für das Produkt vCenter Server eine als "kritisch" eingestufte Sicherheitslücke geschlossen
  • Diese Sicherheitslücke kann aufgrund öffentlich verfügbaren Informationen durch Angreifer ausgenutzt werden
  • Die Sicherheitslücke erlaubt es Angreifern, Befehle mit uneingeschränkten Berechtigungen auf dem Serverbetriebssystem auszuführen, auf welchem das vCenter läuft
  • Sollte der Angreifer Zugriff auf den Port 443 des betroffenen Systems erhalten, ist die Sicherheit des Servers und indirekt des gesamten Systems betroffen
  • Betroffen sind die vCenter Server Versionen 7.0, 6.7 und 6.5
  • Um die Sicherheitslücken zu schliessen, müssen die neusten Versionen eingespielt werden: 7.0 U1c, 6.7 U3l oder 6.5 U3n

ESXi

  • Ähnliche Auswirkung kann eine weitere Schwachstelle mit der Kritikalität "hoch" auf die Umgebung ESXi haben
  • Dabei muss der Angreifer Zugriff auf den Port 427 haben, um Befehle ausführen zu können und somit Kontrolle über das System zu erhalten
  • Betroffen sind die ESXi Versionen 7.0, 6.7 und 6.5
  • Um die Sicherheitslücken zu schliessen, müssen die neusten Versionen eingespielt werden: ESXi70U1c-17325551, ESXi670-202102401-SG bzw. ESXi650-202102101-SG

Referenz der Sicherheitslücken
CVE-2021-21972, CVE-2021-21973 und CVE-2021-21974

Bleiben Sie gesund.
Das Neo One Team wünscht Ihnen weiterhin beste Gesundheit. Bleiben Sie physisch und virtuell virenfrei. Wir hoffen, wir konnten Sie in dieser Angelegenheit optimal informieren und betreuen.

Alles Gute und weiterhin viel Erfolg.


Autor

Michael Schlüter

Senior ICT Security Consultant & Cyber Security Officer

Beitrag teilen

Weitere Artikel

Was suchen Sie?