ProxyLogon

lokale Microsoft Exchange Server-Zero-Day-Schwachstellen

Wir möchten Sie DRINGEND auf die Veröffentlichung von Patches durch Microsoft für mehrere verschiedene lokale Microsoft Exchange Server-Zero-Day-Schwachstellen aufmerksam machen, die von einer nationalstaatlichen verbundenen Gruppe ausgenutzt werden.
Die Schwachstellen bestehen in den lokalen Exchange-Servern 2010, 2013, 2016 und 2019. Exchange Online ist davon nicht betroffen. Wir möchten sicherstellen, dass Sie sich der Situation bewusst sind, und bitten Sie, sofortige Korrekturmaßnahmen zu unterstützen.
Um die Auswirkungen dieser Situation zu minimieren bzw. ganz zu vermeiden, empfiehlt Microsoft dringend, sofort Maßnahmen zu ergreifen, um die Patches für alle lokalen Exchange-Deployments anzuwenden, die Sie haben oder für einen Kunden verwalten, oder Ihre Kunden entsprechend zu informieren. Oberste Priorität haben Server, auf die über das Internet zugegriffen werden kann (z. B. Server, die Outlook im Web/OWA und ECP veröffentlichen).
Um diese Schwachstellen zu beheben, sollten Sie zu den neuesten Exchange Cumulative-Updates wechseln und dann die entsprechenden Sicherheitsupdates auf jedem Exchange Server installieren.
Quelle: Microsoft Blog

Wissenswertes:

ProxyLogon ist der formal generische Name für CVE-2021-26855, eine Sicherheitsanfälligkeit in Microsoft Exchange Server, die es einem Angreifer ermöglicht, die Authentifizierung zu umgehen und sich als Administrator auszugeben. Es wurden diese Fehler auch mit einer anderen Sicherheitsanfälligkeit beim Schreiben beliebiger Dateien nach der Authentifizierung, CVE-2021-27065, verkettet, um die Codeausführung zu erhalten.

Alle betroffenen Komponenten sind standardmäßig anfällig!

Infolgedessen kann ein nicht authentifizierter Angreifer beliebige Befehle auf Microsoft Exchange Server über einen nur geöffneten 443-Port ausführen!

Quelle: DEVCORE

Was wird unternommen, um zu helfen

Cyber-SecurITy#Zero-Day

SolarWinds Hack

SolarWinds Hack und der FireEye-Verstoß

Anfang dieser Woche gab SolarWinds bekannt, einen angeblich staatlich geförderten Kompromiss für ihre SolarWinds Orion-Plattform entdeckt zu haben. Dieser soll für den FireEye-Verstoß in der vergangenen Woche verantwortlich sein, bei dem Angreifer sensible Hacking-Tools des „roten Teams“ und potenzielle Informationen zu bestimmten Regierungskunden gestohlen haben.

Wissenswertes:

Die US-amerikanische Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) hat eine Richtlinie veröffentlicht, in der alle zivilen Bundesbehörden aufgefordert werden, ihre Netzwerke auf Kompromissindikatoren (IoCs) zu überprüfen und alle laufenden SolarWinds Orion-Server zu trennen. Darüber hinaus fordert SolarWinds seine Kunden auf, ihre Orion-Installationen so schnell wie möglich auf 2020.2.1 HF 1 zu aktualisieren, um die gefährdeten Komponenten zu minimieren. SolarWinds hat Anfang dieser Woche die Version 2020 2.1 HF 2 veröffentlicht, die die gefährdeten Komponenten ersetzen und „mehrere zusätzliche Sicherheitsverbesserungen bieten“ wird.

SolarWinds Orion Kunden werden aktiv:

Wenn Sie ein SolarWinds Orion-Kunde sind, installieren Sie die Updates vom SolarWinds-Kundenportal so schnell wie möglich, um diese Bedrohung zu minimieren. Über diesen Link können Sie überprüfen, welche Version der Orion-Plattform Sie ausführen, und über diesen Link können Sie überprüfen, welche Hotfixes Sie angewendet haben.

  • Es gilt, zeitnahe das Update als beste Lösung einzuspielen.
  • Zudem können Sie auch Ihre Firewalls (z. B. WatchGuard-Produkte) konfigurieren, um dieses Problem zu beheben und potenzielle zukünftige SolarWinds Orion-Risiken zu begrenzen.
  • Dieser Angriff nutzt die SolarWinds Orion-Serverports 17776-17778 (TCP).
  • Sofern Sie diese Ports nicht extern (für das Internet) verfügbar machen müssen, sollten Sie sie mit Ihrer Firebox blockieren.
  • Wenn Sie einen Remotezugriff auf diese Ports bereitstellen müssen, sollten Sie diesen Zugriff zumindest einschränken.
  • Sie können entweder eine Richtlinie aus einer begrenzten Gruppe von IPs, Domänen oder Benutzern konfigurieren
  • Besser VPN (vorzugsweise mit Multi-Faktor-Authentifizierung) einsetzen
  • damit Remoteclients die IP-Adresse und die Ports des Orion-Servers erreichen können.

Was wird unternommen, um zu helfen

  • Es wird nicht nur versucht, firmen, Partner und Benutzer über dieses Problem zu informieren, sondern Hersteller arbeiten auch daran, Abwehrmaßnahmen in deren Produkte zu implementieren, um Verstöße und deren verbundene Folgen zu erkennen und zu verhindern.
  • Denn dieser Vorfall Teil eines umfassenderen Angriffs, den FireEye betraf.
  • Bei diesem Angriff stahlen die Bedrohungsakteure proprietäre und gefährliche FireEye-Tools für das „rote Team“, die böswillige Akteure jetzt gegen andere Opfer einsetzen konnten.
  • FireEye hat ein Github-Repository mit vielen Kompromissindikatoren (IoC) für diese Tools veröffentlicht.
  • Produkt- und Entwicklungsteams arbeiten diese IoCs aktiv in sinnvolle Produkte ein, um Kunden vor neuen Gegnern zu schützen, die sie böswillig einsetzen.
EDR | MFAAnfrage

Cloud-Sicherheit in Schulen für ein kleines Budget

Wer schützt uns vor den Wächtern und haben Sie etwa noch Zeit?

Day(s)

:

Hour(s)

:

Minute(s)

:

Second(s)

Cloud-Sicherheit für ein kleines Budget:

Boxcryptor für Schulen

Zusammen in der Cloud arbeiten:

  • innerhalb Ihrer Primär- oder Sekundärschule,

  • außerhalb Ihrer Primär- oder Sekundärschule.

  • Verschlüsseln Sie wichtige Daten von Schulkindern:

  • für nur 1.200 € im Jahr und 500 Lizenzen inklusive.

Threat Landscape oder warum Cyber-Security ernst nehmen?

Wer schützt uns vor den Wächtern und haben Sie etwa noch Zeit?

Day(s)

:

Hour(s)

:

Minute(s)

:

Second(s)

Feuer

Lieben Sie das Spiel mit dem Feuer?

 

Dann lassen Sie inaktive Konten wie bisher unbeachtet:

 

Lassen Sie inaktive Konten unbeachtet und geben Ehemaligen und Hackern riskanten Zugriff als „legitimierte Benutzer“ unbefugt sensible Daten zu nutzen, dann spielne Sie mit dem Feuer. Erwarten Sie möglicherweise saftige Strafen im Rahmen der DSGVO und verlieren u.U. auch noch Ihre Reputation beim Kunden.

Oder machen Sie es gleich besser:
Setzen Sie Ihre Dokumentation mit uns um und sparen so Geld und Zeit.

Inaktive Benutzerkonten eignen sich ideal für das Ausnutzen durch Angreifer. Indem Angreifer legitime, aber inaktive Konten verwenden, können sie leicht legitimierte Benutzer imitieren und ihre schadhafte Aktivität einfachst verschleiern.

Denn es besteht ein ernstes potentielles Risiko, wenn Konten, die mit ehemaligen Mitarbeitern oder Zeitarbeitskräften verbunden sind, nicht gelöscht werden, sobald die Beschäftigung endet.

Benutzerkonten können mit unbefugtem Zugriff auf sensible Daten belassen sein, was besonders gefährlich ist, sofern der Austritt aus den Unternehmen nicht gütlich ist. Einige ehemalige Mitarbeiter können Ihre Chance wittern, dadurch selbst zu profitieren.

Es gibt einfache Regeln, auf die Sie setzen können, um sicherzustellen, damit inaktive Konten keine potenziellen Möglichkeiten für Angreifer ergeben und kein ungewünschter Abfluss für sensible Daten sind.

In jedem Fall sparen Sie aber jede Menge Ärger. 

Machen Sie es daher gleich besser:
Setzen Sie Ihre Dokumentation mit uns um und sparen so Geld und Zeit.

 

Wenn Sie Fragen zur Umsetzung haben, können Sie uns am Besten einfach eine E-Mail senden.

ProxyLogon

The latest pre-authenticated Remote Code Execution vulnerability on Microsoft Exchange Server

SolarWinds Hack

SolarWinds Hack und der FireEye-Verstoß: Wichtige Informationen

Cloud-Sicherheit in Schulen für ein kleines Budget

Cloud-Sicherheit für ein kleines Budget: Boxcryptor für Schulen Zusammen in der Cloud arbeiten: innerhalb Ihrer Primär- oder Sekundärschule, außerhalb Ihrer Primär- oder Sekundärschule. Verschlüsseln Sie wichtige Daten von Schulkindern: für nur 1.200 € im Jahr und 500...

Cyber-Attacken

Nach der Meinung gefragt! Warum sind Cyber-Kriminelle noch so erfolgreich mit ihren Attacken? Die Top 5 Antworten: - Mangelnde Sensibilität der Mitarbeiter für Risiken - Angriffe werden zu spät oder gar nicht bemerkt - IT-Systeme halten Angriffen nicht stand -...

Feuer

Lieben Sie das Spiel mit dem Feuer?   Dann lassen Sie inaktive Konten wie bisher unbeachtet:   Lassen Sie inaktive Konten unbeachtet und geben Ehemaligen und Hackern riskanten Zugriff als "legitimierte Benutzer" unbefugt sensible Daten zu nutzen, dann...

Smb

Jetzt ist es Zeit, SMB zu aktualisieren.   Ursprüngliche Netzwerkprotokolle werden unpraktisch:   HTTP wird durch HTTPS ersetzt, man versucht, DNS durch DNSSEC zu ersetzen und TLS hat sein erstes Update seit 8 Jahren erhalten. So wird jetzt auch Zeit, SMB zu...

Wieviel sind eigentlich 10%

Wieviel sind eigentlich 10% in Zahlen ausgedrückt?denn jede Sicherheitskette ist nur so stark wie ihr schwächstes Glied.... schon einfache Schutzkompetenzen sollen ausreichen, um rund 90 Prozent der Cyberangriffe abzuwehren?Das gilt aber leider nicht für Backdoors,...

Smb

Jetzt ist es Zeit, SMB zu aktualisieren.

 

Ursprüngliche Netzwerkprotokolle werden unpraktisch:

 

HTTP wird durch HTTPS ersetzt, man versucht, DNS durch DNSSEC zu ersetzen und TLS hat sein erstes Update seit 8 Jahren erhalten.

So wird jetzt auch Zeit, SMB zu aktualisieren.

Warum sollten Sie SMB ersetzen wollen?
SMB 1 ist eine alte Version des SMB-Protokolls aus den 1980er Jahren. Zwar ist es auf vielen Computern noch aktiv (Kommunikation Windows XP Server 2003) daher sollten solche Systeme bereits nicht mehr in Ihrer Umgebung aktiv sein. Wenn doch, sollte SMB 1 – ohne auf viele Probleme zu stoßen – im gesamten Netzwerk deaktiviert werden können.

SMB 2 und SMB 3 sind moderne sichere Datei-Übertragungsprotokolle mit vollem Funktionsumfang, starker Verschlüsselung und robustem Failover. Das Hauptproblem: Administratoren müssen bei Verwendung dieser Protokolle zusammen mit NetBios die Ports 339 und 445 öffnen. Die Crux: Das Offenhalten von Ports ist für ein sicheres Netzwerk eine äußerst ungünstige Praxis, das Schließen dieser Ports oder das Deaktivieren von SMB hingegen verursacht andere Probleme.

Hinweis:
Erinnern wir uns an eine Sicherheitslücke im SMB-Protokoll, die 2017 zu dem Massen-Ransomware-Angriff Wannacry führte. Es wird wohl noch Millionen von Systemen geben, die im Internet immer noch so aktiv sind.

Die Aufgabenstellung:
Daher sollten Administratoren Ports 339 und 445 schließen, SMB für Benutzersegmente deaktivieren und gewünschte Funktionen über HTTPS-Protokolls replizieren.

Die Umsetzung:
Erweitern von SMB durch Secure File Access

Die Folge:
Gewährleistung von sicherem und kontrollierten Zugriff auf alle Dateitypen und Inhalte.

Beim Ziel, Business im Internet zu tätigen, sollten folgende Dinge beachtet werden:
Keine Ports zur Außenwelt öffnen zu müssen!
– Keine erhelblichen Änderungen normaler Arbeitsabläufe!
– Keine Beeinträchtigung für Endbenutzer!

Zusammenfassung:
Bedarf ist eine aktualisierte Zugriffslösung für ein Zeitalter, welches zwingend angepasste Sicherheit erfordert.
Offene Ports im Netzwerk weiterhin offen zu lassen ist eine Einladung zur Katastrophe, selbst Port 80!

 

Wenn Sie Fragen haben, können Sie uns am Besten einfach eine E-Mail senden.

ProxyLogon

The latest pre-authenticated Remote Code Execution vulnerability on Microsoft Exchange Server

SolarWinds Hack

SolarWinds Hack und der FireEye-Verstoß: Wichtige Informationen

Cloud-Sicherheit in Schulen für ein kleines Budget

Cloud-Sicherheit für ein kleines Budget: Boxcryptor für Schulen Zusammen in der Cloud arbeiten: innerhalb Ihrer Primär- oder Sekundärschule, außerhalb Ihrer Primär- oder Sekundärschule. Verschlüsseln Sie wichtige Daten von Schulkindern: für nur 1.200 € im Jahr und 500...

Cyber-Attacken

Nach der Meinung gefragt! Warum sind Cyber-Kriminelle noch so erfolgreich mit ihren Attacken? Die Top 5 Antworten: - Mangelnde Sensibilität der Mitarbeiter für Risiken - Angriffe werden zu spät oder gar nicht bemerkt - IT-Systeme halten Angriffen nicht stand -...

Feuer

Lieben Sie das Spiel mit dem Feuer?   Dann lassen Sie inaktive Konten wie bisher unbeachtet:   Lassen Sie inaktive Konten unbeachtet und geben Ehemaligen und Hackern riskanten Zugriff als "legitimierte Benutzer" unbefugt sensible Daten zu nutzen, dann...

Smb

Jetzt ist es Zeit, SMB zu aktualisieren.   Ursprüngliche Netzwerkprotokolle werden unpraktisch:   HTTP wird durch HTTPS ersetzt, man versucht, DNS durch DNSSEC zu ersetzen und TLS hat sein erstes Update seit 8 Jahren erhalten. So wird jetzt auch Zeit, SMB zu...

Wieviel sind eigentlich 10%

Wieviel sind eigentlich 10% in Zahlen ausgedrückt?denn jede Sicherheitskette ist nur so stark wie ihr schwächstes Glied.... schon einfache Schutzkompetenzen sollen ausreichen, um rund 90 Prozent der Cyberangriffe abzuwehren?Das gilt aber leider nicht für Backdoors,...