MS Exchange-Schwachstelle jetzt fixen!

Aktuell warnt das BSI vor einer ausnutzbaren Schwachstelle auf Exchange-Servern.
Download Informationen BSI

Was ist jetzt zu beachten?

  • Sollten Sie Sophos-Produkte im Einsatz haben, sind Sie über Sophos WAF geschützt
  • Es besteht leider immer ein Rest-Risiko, dass sich Angreifer Zugriff auf das interne OWA verschaffen (Social Hacking, Mail-Scripting, etc.)
  • Bei der Erstellung eines Zustandsberichtes Ihres Exchanges sind wir Ihnen gerne behilflich. (Alternativ finden Sie eine Anleitung unten stehend in diesem Beitrag)
  • In jedem Fall spielen Sie bitte zeitnah die neuesten Exchange-Updates ein, damit die möglichen Schwachstellen umgehend gefixt werden.
  • Natürlich sind wir Ihnen auch beim Einspielen der Updates sehr gerne behilflich.
  • Bei Kunden mit aktivem Patchmanagement sind wir bereits tätig und bereiten die Updates vor.

Ob Ihr System bereits angegriffen wird, können Sie wie folgt herausfinden:

Laden Sie sich bitte die PowerShell-Datei von Github unter https://github.com/microsoft/CSS-Exchange/tree/main/Security herunter und führen Sie diese auf Ihrem Exchange aus (bei mehreren Exchange-Servern bitte auf allen ausführen).

Das PS-Skript Test-ProxyLogon.ps1 sucht nach Angriffsmerkmalen, die für ProxyLogon typisch sind. So durchsucht das Skript Exchange-Logs, Exchange-HttpProxy-Logs und Windows-Application-Event-Logs. Microsoft hatte die Details dazu bereits in einem Blogpost veröffentlicht, das Skript fasst die manuellen Tests jedoch zusammen und macht es Administratoren erheblich einfacher, ihre Exchange-Server zu prüfen.

Auf einem lokalen Exchange-Server (auf der Exchange Management Shell) gibt das Skript seine Ergebnisse direkt aus:

.\Test-ProxyLogon.ps1

Die Ausgabe lässt sich speichern:

.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs

Wer mehrere Exchange-Server betreibt, kann alle Systeme zugleich untersuchen (und das Ergebnis speichern):

Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs

Sie haben Rückfragen oder benötigen zusätzliche Informationen? Kontaktieren Sie uns gern per E-Mail an helpdesk@lmbit.de