Skip to main content

Kritische Sicherheitslücke in Exchange Server (CVE-2024-21410)

Kritische Sicherheitslücke in Exchange Server (CVE-2024-21410)

Die kritische Schwachstelle CVE-2024-21410 in Exchange Server, welche am 13.02.2024 öffentlich gemacht wurde, wird jetzt aktiv ausgenutzt. Die Schwachstelle CVE-2024-21410 ermöglicht Angreifern eine NTLM Relay Attacke (Pass the Hash). In diesem Fall können Angreifer einen Client wie Outlook dazu bringen sich gegenüber einen bösartigen Relay anzumelden, um so an die NTLM Anmeldeinformationen zu kommen.

Wie hoch ist das Risiko?

Das Sicherheitsrisiko wird als kritisch bewertet. Die Schwachstelle ermöglicht es Angreifern, hohe Vertraulichkeits-, Integritäts- und Verfügbarkeitseinbußen herbeizuführen. Die Tatsache, dass keine Benutzerinteraktion oder Privilegien erforderlich sind, um die Schwachstelle auszunutzen, erhöht das Risiko erheblich. Eine kompromittierte Mail vom Angreifer an einen Benutzer ist ausreichend für die Ausnutzung dieser Sicherheitslücke.

Was ist zu tun?

Um sich vor dieser Sicherheitslücke zu schützen, empfehlen wir dringend:

Aktualisieren Sie Ihren Exchange Server: Stellen Sie sicher, dass Ihr Exchange Server auf dem neuesten Stand ist. Speziell der Exchange Server 2019 sollte mindestens das Kumulative Update 14 (CU14) installiert haben. Dieser Patch aktiviert den erweiterten Schutz für die Authentifizierung (EPA), was zum Schließen der Lücke führt.
Für Exchange Server 2016 gibt es noch keine aktiven Patch. Auch hier gilt natürlich die Empfehlung, stets aktuell gepatchte Systeme einzusetzen. Für diese Server ab dem Kumulativen Update 23 mit dem Sicherheitsupdate vom August 2022 wird empfohlen, den erweiterten Schutz für die Authentifizierung (EPA) manuell zu aktivieren.

Wir unterstützen Sie gerne – Hier Kontakt aufnehmen

Weiterlesen

Veeam Backup & Replication V12 veröffentlicht

Veeam Backup & Replication V12 veröffentlicht

Die lang erwartete Version 12 der beliebten Backuplösung wurde veröffentlich – Wir haben für Sie die Key-Features nochmal stichpunktartig zusammengefasst:

  • Multi-Faktor Unterstützung für die Veeam Backup & Replication Console
  • Unterstützung von Active Directory Group Managed Service Account (gMSA)
  • Unterstützung von Storage Snapshots bei HPE Nimble Peer-Persistent Umgebungen
  • Unterstützung des Immutable Feature für HPE StoreOnce Systeme
  • Unterstützung von Safe-Mode Snapshots bei PureStorage Arrays
  • Unterstützung von Veeam Fast Cloning Support für ExaGrid Systeme
  • Plattformunterstützung für VMware vSphere 8.0
  • Plattformunterstützung für Windows Server 2022 (als Veeam Backup Server) in Verbindung mit dem geänderten Datenbank-Design (Postgre-SQL)
  • „Direct Backup“ zu Object Storage (Amazon S3, Azure, etc.)
  • Vergleich Wiederherstellung auf Datei / Ordner Ebene (nach geänderten Objekten seit letzter Sicherung)
  • u.v.m.

Vollständige Übersicht der Änderungen

Wir unterstützen Sie bei der Migration – Sprechen Sie uns an!

Weiterlesen

Support-Ende von Windows Server 2012 (R2), Exchange Server 2013 und weiteren Microsoft Produkten

Support-Ende von Windows Server 2012 (R2), Exchange Server 2013 und weiteren Microsoft Produkten

Im April 2023 läuft der beliebte Kommunikationsserver Exchange 2013 aus dem erweiterten Support.
Im Oktober 2023 folgt dann das Supportende des Windows Server 2012 und Windows Server 2012 R2. Ab diesem Zeitpunktstellt stellt Microsoft keine Sicherheitsupdates für diese Systeme mehr zur Verfügung. 

Neben diesen beliebten Serverbetriebs- und Anwendungssystemen laufen auch diverse andere Produkte aus:

  • Windows 8.1
  • Office 2013
  • u.v.a

Alle Produkte mit Supportende im Jahr 2023

Risiken bei Weiterverwendung von Software außerhalb des Supportszeitraumes

  • keine Sicherheitsupdates und Featureupdates
  • keine Supportunterstützung von Microsoft
  • Datenschutzkonformität gefährdet
Vermeiden Sie unnötige Sicherheitsrisiken oder Ausfälle und planen Sie bereits jetzt die Migration Ihrer Serverumgebungen mit uns. 

Weiterlesen

Microsoft 365 und Datenschutz

Microsoft 365: Microsoft bewegt sich, die Datenschützer mauern unverhältnismäßig

Unternehmen haben es nicht leicht im Dschungel der Auflagen und Empfehlungen nach DSGVO, BSI etc. die Digitalisierung voranzutreiben. Unwissentlich kann schnell kann gegen Datenschutzauflagen und geltendes Recht verstoßen werden. Es drohen sogar empfindliche Geldstrafen bei ernsten Vorfällen.
Im November 2022 hat die DSK (Datenschutzkonferenz) der Datenschutzaufsichtsbehörden eine neue Stellungnahme zu Microsoft 365 veröffentlicht:
Der rechtmäßige Einsatz der Software sei demnach nicht nachweisbar – Mit anderen Worten: Microsoft 365 sei rechtswidrig.

Ein Schock für alle Unternehmen mit Microsoft 365 im produktiven Betrieb – Aus unserer Sicht ist die Entscheidung mehr als fragwürdig.

Die Themen public Cloud, souveräne „private Cloud“ und die damit verbundenen Auflagen, Herausforderungen und Möglichkeiten ist eine unserer Expertisen. Sprechen Sie uns an – Wir beraten Sie gerne.

Quellen und weiterführende Informationen:

Weiterlesen

📣BSI warnt vor dem Einsatz von Kaspersky – Jetzt wechseln

BSI warnt vor dem Einsatz von Kaspersky-Virenschutzprodukten

Das Bundesamt für Sicherheit in der Informationstechnik Pressestelle (BSI) warnte bereits Mitte März vor dem Betrieb der Software des russischen Herstellers Kaspersky.

Hintergrund für die Warnung ist der Ukraine-Krieg. Von russischer Seite seien Drohungen an die Nato, die EU, aber auch die Bundesrepublik Deutschland ausgesprochen worden. Daher hat das BSI das Risiko eines „erfolgreichen IT-Angriffs“ über Programme wie Kaspersky als „erheblich“ eingestuft.

Auch wenn nach aktuellem Stand der Dinge, die Software aus dem Haus Kaspersky keine Kompromittierung aufweist, kann sich dieser Zustand jederzeit ändern. So bauen die meisten Antivirensysteme, so auch die von Kaspersky, eine aktive verschlüsselte Verbindung zum Hersteller für den Download von Updates und neuen Antivirendefinitionen auf. Diese Methodik kann theoretisch die gesamte Funktionsweise der Software modifizieren und somit eine Schutzsoftware in eine Schadsoftware wandeln.

„Daher ist Vertrauen in die Zuverlässigkeit und den Eigenschutz eines Herstellers sowie seiner authentischen Handlungsfähigkeit entscheidend für den sicheren Einsatz solcher Systeme. Wenn Zweifel an der Zuverlässigkeit des Herstellers bestehen, birgt Virenschutzsoftware ein besonderes Risiko für eine zu schützende IT-Infrastruktur“ – so der BSI.

Weiter heißt es, dass ein russischer IT-Hersteller entweder selbst offensive Operationen durchführen oder gegen seinen Willen gezwungen werden kann, Zielsysteme anzugreifen. Außerdem könne er selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.

Besonders Unternehmen sind laut BSI gefährdet
Vor allem Unternehmen sollten sich die Kaspersky-Warnung des BSI zu Herzen nehmen. Sie gelten als „in besonderem Maße“ gefährdet – genau wie Behörden mit besonderen Sicherheitsinteressen und Betreiber kritischer Infrastrukturen.

Unsere Empfehlung
Sollten Sie Sicherheitsprodukte der Firma Kaspersky im Einsatz haben, so lautet auch unsere Empfehlung diese zeitnah auszutauschen. Derzeit bieten viele Hersteller Sonderkonditionen beim Wechsel von Kaspersky an.
So bietet wir mit unserem Partner Trendmicro für seine beliebte Worry-Free-Produktlinie Migrationsprojekte mit rabattierten Lizenz- und Servicepauschalen für Kaspersky-Bestandskunden an.

Weiterlesen

Microsoft Exchange im Visier von E-Mail-Hijacking-Angriffen

Microsoft Exchange vermehrt im Visier von E-Mail-Hijacking-Angriffen

Unbekannte Hacker nehmen vermehrt ungepatchte Microsoft Exchange-Server ins Visier. Ein Trick hat sich dabei breit gemacht, der für viele Nutzer zunächst nicht so einfach zu durchschauen ist: Die Hacker nutzen bestehende E-Mail-Konversation und täuschen so Legitimität vor. Das geht aus einem neuen Bericht der Sicherheitsforscher von Intezer hervor (via Bleeping Computer).

So scheint laut einigen Berichten und eigenen Beobachtungen in unserem Umfeld seit März 2022 eine Angriffskampagne stattzufinden, welche sich eines einfachen und zugleich fiesen Tricks bedient.

Conversation-Hijacking-Angriff

Um neue Opfersysteme zu finden, welche mit Schadsoftware kompromittiert werden sollen, nutzen die Angreifer das sog. Conversation-Hijacking.

Dabei erwecken die Hacker bei ihren Opfern den Eindruck, sie erhielten eine E-Mail von einem bekannten Absender. Gegenüber den herkömmlichen Fake-Absender-Attacken werden dabei aber tatsächliche Mailverläufe genutzt. In diesen Antwortketten wird dann zum Beispiel ein Link mit dem Download eines angeblichen Word-Dokuments oder ein Downloadlink für eine beliebige Datei geteilt, in dem eine Malware enthalten ist.

Wenn die Zielperson eine Antwortnachricht mit einem Anhang erhält, der so benannt ist, als sei er für die vorangegangene Diskussion relevant, ist die Wahrscheinlichkeit, dass sie einen Betrug vermutet, auf ein Minimum reduziert.

Wie kommen die Angreifer an die Mailkonversation?

Damit die Angreifer auf eine bestehende Mailkonversation Zugriff haben, muss an einer Stelle der Konversation eine „undichte Stelle“ existieren. Hier spielen nun die „Sicherheitskatastrophen“ beim Microsoft Exchange Server (Proxyshell, Hafnium) aus dem Jahr 2021 und die Nachlässigkeit zahlreicher Admins und IT Betreuer den Angreifern in die Karten, indem Sie immer noch ungesicherte Systeme online verfügbar haben.

Sind diese Systeme kompromittiert, so können hier die Angreifer den Mailverkehr auslesen, umleiten, modifizieren und fast alle denkbaren Dinge damit anstellen.

Unterm Strich besteht hier also die Gefahr für Sie, von einem bekannten Absender in einer bestehenden Konversation Schadsoftware zu erhalten, auch wenn in Ihrem Netzwerk kein unsicher Mailserver existiert.

Wie kann man sich schützen?

Alle Unternehmen mit internen Exchange-Servern müssen diese nach dem aktuellen Stand absichern und Patches (SUs, CUs) zeitnah einspielen. Weitere Sicherheitsmaßnahmen wie gute Firewalls, Absicherung in einer DMZ etc. sind immer eine sinnvolle Idee.

Natürlich gelten die üblichen Sicherheitsempfehlungen wie Mailgateways, Antivirensoftware und Backups als Grundschutz.

Eine Absicherung der Kommunikation mit Zertifikaten kann ein hohes Maß an Sicherheit gewährleisten, wenn diese richtig angewendet werden.

Zusätzlich sollte man in diesen Zeiten, noch skeptischer als sonst mit Links in Mails umgehen. Sie können nie sicher sein, dass Ihr Geschäftspartner mit einer vollständig abgesicherten IT-Umgebung arbeitet und die Antwort auch wirklich aus der Quelle stammt welche Sie vermuten (gerade ohne technische Signaturen mit Zertifikaten).

In der Not hilft ein altes Hausmittel: Anrufen und fragen ob der Link wirklich vom Absender kommt.

Bei Ihren Fragen zur IT-Sicherheit, Exchange-Absicherung, Mailverschlüsselung und Datenschutz kommen Sie auf uns zu.

Weiterlesen

Kritische Lücke in Sonicwalls [CVE-2022-22274]

Kritische Lücke in Sonicwalls erlaubt Angreifern das Einschmuggeln von Code

Der Firewall Hersteller SONICWALL hat über eine neue Sicherheitslücke informiert, die es nicht angemeldeten Angreifern aus der Ferne mit manipulierten HTTP-Anfragen ermöglicht, Schadcode einzuschleusen und auszuführen oder betroffene Geräte mittels Denial-of-Service (DoS) außer Gefecht zu setzen (CVE-2022-22274, CVSS 9.4, Risiko kritisch).

Betroffene Geräte
Die Schwachstelle findet sich in zahlreichen Firewall-Modellen und Firmware-Versionen.

Die Modelle

• TZ270 (W)
• TZ370 (W)
• TZ470 (W)
• TZ570 (W)
• TZ570P
• TZ670
• NSa 2700
• NSa 3700
• NSa 4700
• NSa 5700
• NSa 6700
• NSsp 10700
• NSsp 11700
• NSsp 13700
• NSv 270
• NSv 470
• NSv 870

sind mit Firmware 7.0.1-5050 und älteren Fassungen anfällig.
Der Hersteller stellt neue Updates bereit, die die Lücke schließen sollen. Das Einspielen des Patches inkl. eines Updates auf die neueste Firmware dauert zwischen 15 und ca. 30 Minuten inkl. Backup der Konfiguration. In dieser Zeit ist i.d.R. kein Zugriff auf das Internet sowie der externe Zugriff möglich.

Als Ihr Sonicwall Partner in Hannover unterstützen wir Sie gerne mit Ihren Firewall-Appliances.

Weiterlesen

Sicherheitslücke Log4Shell bedroht zahlreiche Applikationen und Netzwerksysteme

Log4Shell Sicherheitslücke

Warnstufe Rot: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage

Das Jahr 2021 ist nicht nur dank Corona, Inflation sowie politischen und wirtschaftlichem Wandel sehr „bewegt“ — Nein auch in der der IT-Sicherheit ging es heiß her.

Nach den prominenten Zero-Day-Schwachstellen wie Hafnium, Kaseya oder Solarwinds müssen sich Unternehmen erneut dringend mit einer hochkarätigen Server-Schwachstelle namens Log4Shell auseinandersetzen.

Hierzu hat das BSI die höchste Warnstufe ausgerufen.

Worauf basiert die „Log4Shell“ Schwachstelle?
Die betroffene Software ist eine überaus gängige Bibliothek namens „Log4j“ welche auf der Programmiersprache Java basiert. Diese Bibliothek kann und wird von unzähligen anderen Produkten und Herstellern genutzt, um Ereignisse in der eigenen Soft- oder Hardware zu protokollieren. Im Prinzip also ein unabhängiges Logbuch, welches von Drittanbietern genutzt werden kann, um in der eigenen Hard- oder Software Ereignisse festzuschreiben. Erstmal aufgedeckt wurde diese Lücke im Online-Spiel „Minecraft“.

Wie funktioniert die Schwachstelle?
Einfach gesagt, nutzen die Angreifer eine Funktion von Log4j, um externen Inhalt aus dem Internet zu laden. Dieser Inhalt wird dann auf dem System auf dem das „Logbuch“ läuft, ausgeführt. Somit kann schädlicher Code z.B. direkt auf dem betroffenen System ausgeführt werden.

Unter anderen kann jede Eingabe, welche über das Internet getätigt werden kann, zu der Ausnutzung der Sicherheitslücke missbraucht werden. So kann z.B. ein einfaches Anmeldefenster einer Webapplikation bereits zweckentfremdet werden, um über die Log4j Schwachstelle einen Server zu kompromittieren. Das Ganze sogar ohne dabei auch nur die Zugangsdaten zu kennen.

Was macht die Log4Shell-Schwachstelle so gefährlich?
Anderes als bei den meisten Schwachstellen die dieses Jahr für Wirbel gesorgt haben, sind die betroffenen Produkte und Hersteller noch nicht abzusehen oder einzugrenzen.

Von einfachen Smarthome-Geräten über beliebige Applikationen bis hin zu Netzwerkgeräten wie Router, Switches und ganzen Servern kann jede Soft- oder Hardware, welche „online“ erreichbar ist und Log4J nutzt, kompromittiert werden.

Erschwerend kommen die Einfachheit und die zahlreichen Möglichkeiten der Angreifer nach der Kompromittierung hinzu.

Unsere Erfahrungen bisher
In den letzten Tagen haben wir gemeinsam mit unseren Kunden bereits zahlreiche Maßnahmen zur Absicherung der IT gegen diese Schwachstelle ergriffen. Leider mussten wir die Erfahrung machen, dass selbst Softwarehersteller, welche Log4j produktintern nutzen, bisher an Ihre Kunden keinerlei Warnung ausgegeben haben. Somit bleibt es nicht aus, aktiv Produkte und Applikationen sowie deren Hersteller zu hinterfragen und zu prüfen.

Ebenfalls helfen bereits bekannten Prüfverfahren festzustellen, ob eine Anwendung oder ein Gerät durch diese Schwachstelle betroffen ist – Diesen Check können wir für Sie übernehmen. Gefährdete Ressourcen können dann entweder „offline“ geschaltet oder in Abstimmung mit dem Hersteller gegen die Sicherheitslücke gepatched werden.

Bis Weihnachten und sicherlich auch noch danach wird es in der IT spannend bleiben…

Quellen und weiterführende Informationen zu diesem Thema:

Weiterlesen

Wenn das Postfach nicht mehr „klingelt“…

Wenn das Postfach nicht mehr „klingelt“…

Von jetzt auf gleich streikt das iPhone mit der Meldung „Ihr Postfach ist voll“ – In den letzten Wochen meldeten sich zahlreiche Benutzer mit eben diesem Phänomen.

Irritiert durch die recht eindeutige Fehlermeldung hatten zahlreiche Anwender schon vorab verzweifelt versucht Ihr Postfach zu verschlanken, der lästige Fehler blieb jedoch.

Tatsächlich tritt dieses Phänomen nur bei iPhones auf, welche mit einem Microsoft Exchange verbunden sind. Dann auch nur, wenn die zu sendende Mail mit Anlagen versehen ist und eine bestimme Updateversion auf dem Server installiert ist. Der Fehler hat somit auch nichts mit der gesamten Datenmenge in Ihrem Postfach zu tun.

Unabhängig von einer bekannten Einschränkung an den Konfigurationsdateien des Exchange Servers, scheint das Problem durch die letzten Updates der Exchange Server entstanden zu sein.

Das Microsoft Paper kb5004622 beschreibt diese Fehler näher.

Wir rechnen damit, dass der Fehler mit dem neusten Update vom Exchange in der Fläche behoben ist, alternativ gibt es ein paar Tricks welche wir auf Administratorenebene für Sie anwenden können.

Weiterlesen

  • 1
  • 2