MS Exchange-Schwachstelle jetzt fixen!
Aktuell warnt das BSI vor einer ausnutzbaren Schwachstelle auf Exchange-Servern.
Download Informationen BSI
Was ist jetzt zu beachten?
- Sollten Sie Sophos-Produkte im Einsatz haben, sind Sie über Sophos WAF geschützt
- Es besteht leider immer ein Rest-Risiko, dass sich Angreifer Zugriff auf das interne OWA verschaffen (Social Hacking, Mail-Scripting, etc.)
- Bei der Erstellung eines Zustandsberichtes Ihres Exchanges sind wir Ihnen gerne behilflich. (Alternativ finden Sie eine Anleitung unten stehend in diesem Beitrag)
- In jedem Fall spielen Sie bitte zeitnah die neuesten Exchange-Updates ein, damit die möglichen Schwachstellen umgehend gefixt werden.
- Natürlich sind wir Ihnen auch beim Einspielen der Updates sehr gerne behilflich.
- Bei Kunden mit aktivem Patchmanagement sind wir bereits tätig und bereiten die Updates vor.
Ob Ihr System bereits angegriffen wird, können Sie wie folgt herausfinden:
Laden Sie sich bitte die PowerShell-Datei von Github unter https://github.com/microsoft/CSS-Exchange/tree/main/Security herunter und führen Sie diese auf Ihrem Exchange aus (bei mehreren Exchange-Servern bitte auf allen ausführen).
Das PS-Skript Test-ProxyLogon.ps1 sucht nach Angriffsmerkmalen, die für ProxyLogon typisch sind. So durchsucht das Skript Exchange-Logs, Exchange-HttpProxy-Logs und Windows-Application-Event-Logs. Microsoft hatte die Details dazu bereits in einem Blogpost veröffentlicht, das Skript fasst die manuellen Tests jedoch zusammen und macht es Administratoren erheblich einfacher, ihre Exchange-Server zu prüfen.
Auf einem lokalen Exchange-Server (auf der Exchange Management Shell) gibt das Skript seine Ergebnisse direkt aus:
.\Test-ProxyLogon.ps1
Die Ausgabe lässt sich speichern:
.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs
Wer mehrere Exchange-Server betreibt, kann alle Systeme zugleich untersuchen (und das Ergebnis speichern):
Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs
Sie haben Rückfragen oder benötigen zusätzliche Informationen? Kontaktieren Sie uns gern per E-Mail an helpdesk@lmbit.de