Microsoft Exchange: Offene Fenster für Kriminelle schließen

Die aktuellen Schwachstellen in Microsofts Exchange-Server-Produkten haben erneut gezeigt, wie vielfältig die Bedrohungen sind, mit denen Unternehmen in Bezug auf ihre IT-Sicherheit konfrontiert werden. [...]

Das Beispiel DearCry zeigt, dass Cyberkriminelle eine Gelegenheit bestmöglich nutzen, sobald eine Schwachstelle bekannt wird (c) pixabay.com

Patches wurden von Microsoft schnell zur Verfügung gestellt, jedoch nicht schnell genug, um alle Lücken zu schließen. Das öffnet Cyberkriminellen Tür und Tor, was diese mit Malware-Kampagnen wie der Ransomware DearCry aktiv ausnutzen.

Das Beispiel DearCry zeigt, dass Cyberkriminelle eine Gelegenheit bestmöglich nutzen, sobald eine Schwachstelle bekannt wird. Einmal installiert, erstellt DearCry nicht nur verschlüsselte Kopien der angegriffenen Dateien und löscht die Originale, sondern ermöglicht es Angreifern auch, Backdoors im Netzwerk zu installieren. Diese können selbst dann noch ausgenutzt werden, wenn die ursprüngliche Sicherheitslücke bereits gepatcht wurde.

Nicht Tage, sondern Stunden

Angriffe, die auf Zero-Day-Schwachstellen basieren, sind von Natur aus schwer zu bekämpfen. Umso wichtiger wird es, das Patchen kritischer Sicherheitslücken schnellstmöglich umzusetzen. Sobald Schwachstellen veröffentlicht werden, dauert es oft nur wenige Stunden, bis kriminelle Hacker sie ausnutzen und ihren Code im Internet bereitstellen. Einige Cyberkriminelle erstellen Malware oder Malware-Code auch gezielt für andere Angreifer, die diese in Web-Shells für Remote-Exploits und eigene Ransomware-Attacken einsetzen können. Dadurch wird Ransomware potenziell noch gefährlicher, weil sie wenig Wissen voraussetzt und ein Angriff Unternehmen komplett lähmen kann. Ein weiterer Faktor, der zu den zunehmenden Angriffen auf Organisationen beiträgt, ist die leichte Verfügbarkeit von Ransomware-as-a-Service-(RaaS)-Angeboten. Dabei ist Ransomware wie DearCry noch nicht einmal eine anspruchsvolle Schadsoftware.

In der Folge der einfachen Verfügbarkeit von Ransomware steigt das Risiko deutlich und die Forderungen von Lösegeldern werden immer gezielter. Dies führt zu einem einträglichen Geschäft für Cyberkriminelle. Heute mag es also DearCry sein. Morgen folgen andere Ransomware-Kampagnen. Nie war das Cybersecurity-Risiko so groß wie heutzutage, da alles in einer umfangreichen digitalen Umgebung miteinander vernetzt ist.

Patches bieten Schutz

Wenn ein Unternehmen also Microsoft-Exchange-Server einsetzt, dann sollte es die für die Sicherheitslücken passenden Patches sofort nach Veröffentlichung installieren und nach Anzeichen einer möglichen Gefährdung suchen. Angriffe sind nur eine Frage der Zeit, und diese ist spätestens seit Bekanntwerden der Schwachstellen knapp. Noch besser wäre es, Patches und Updates zu automatisieren. Die meiste Ransomware würde dann schnell ineffektiv.

Oft haben jedoch die einzelnen Benutzer administrative Rechte auf ihrem System, um die Belastung und die Kosten für das Management und die IT-Support-Mitarbeiter zu verringern. Das verhindert jedoch die Automatisierung. Doch wenn wir eines als Faustregel mitnehmen können, so lautet sie: erstens Patchen, zweitens Patchen und drittens Patchen. Umso schneller, umso besser – denn die Uhr für Notfall-Patches tickt mindestens genauso schnell wie die der Angreifer. Mit dieser Vorgehensweise wird sichergestellt, dass alle bekannten Schwachstellen des Herstellers konsequent behoben werden, um Cyberkriminelle daran zu hindern, im Netzwerk Fuß zu fassen.

Erfolgsfaktor Security Automation

Grundsätzlich sollten sich Unternehmen trotz neuester Sicherheitskontrollen beim Aufkommen einer Schwachstelle auf Menschen, Prozesse und Technologien stützen, um die Bedrohung zu identifizieren, sobald sie auftritt. Ein kritischer Erfolgsfaktor ist, diesen Vorgang zu automatisieren. So können Unternehmen schnell die Bedrohungsdaten über aktive Angriffe auf ihr Netzwerk sammeln und darauf reagieren.

Beispielsweise ist eine Bestandsaufnahme nach einer bekanntgewordenen Sicherheitslücke unumgänglich, um etwa im Fall von DearCry alle betroffenen Microsoft-Exchange-Server zu identifizieren. Hierfür bietet es sich an, Anti-Exploit- und EDR-Lösungen (Endpoint Detection and Response) einzusetzen, die Malware auf einem Endgerät entdeckt, bevor sie in das Netzwerk eindringt. Eine Internal Segmentation Firewall kann anschließend eine dynamische Segmentierung durchführen, um den Host unter Quarantäne zu stellen. Auch ein SOAR-(Security Orchestration, Automation and Response)-System kann auf Basis der gesammelten Informationen schnell Schutzmaßnahmen einleiten.

Der Fall von Microsoft Exchange zeigt deutlich, wie wichtig Automatisierung für die Cybersecurity eines Unternehmens ist. Sie hilft dabei, Schwachstellen nach ihrem Bekanntwerden zu schließen, die Anzeichen für einen Vorfall zu erkennen sowie Gegenmaßnahmen einzuleiten, ehe sich die Malware über das gesamte Netzwerk ausbreiten kann. 

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

*Christian Vogt: Nach 15 Jahren als Senior Regional Director Germany bei Fortinet hat Christian Vogt Christian Vogt Anfang 2020 die Rolle des Vice President DACH übernommen. Er verfügt über langjährige Leadership-Erfahrung und Expertise im Umgang mit großen und strategischen Kunden und Partnern im Markt für Sicherheits- und Netzwerktechnologie sowie in der Telekommunikationsbranche. Er studierte Betriebswirtschaft in Deutschland und den USA und hatte vor seinem Eintritt bei Fortinet 2006 unter anderem Positionen bei Cable & Wireless Deutschland, Inktomi und Oracle inne.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*