Other official information and services: www.belgium.be

PRESSEMITTEILUNG: 400 BELGISCHE COMPUTERSYSTEME INFILTRIERT WEGEN SICHERHEITSLÜCKE BEI MICROSOFT EXCHANGE SERVER

News

Die Folgen der Sicherheitslücken beim Microsoft Exchange Server für belgische Organisationen und Unternehmen werden immer deutlicher. Letzte Woche haben wir bereits vor dieser Sicherheitslücke gewarnt. Aus den Listen der anfälligen Server konnten wir mehr als 400 Systeme aufspüren, bei denen eine Form des Eindringens stattgefunden hat. Das bedeutet, dass böswillige Personen in diese Systeme eingedrungen sind und nun warten, um zuzuschlagen. Daher befürchten wir, dass einige Organisationen und Unternehmen in den kommenden Tagen und Wochen Opfer von Ransomware werden oder, dass Daten gestohlen werden.

Viele anfällige Server wurden inzwischen aktualisiert, aber mehr als 1000 Systeme sind immer noch anfällig. Unternehmen und Organisationen, die ihre Systeme aktualisiert haben, sollten ebenfalls wachsam bleiben und ihre Systeme weiterhin überwachen. In der Zeit zwischen dem Eindringen und den Updates können nämlich noch Spuren hinterlassen sein.

Das Zentrum für Cybersicherheit Belgien kontaktiert Organisationen und Unternehmen, die infiziert sind oder Opfer des Eindringens sind, deren Kontaktdaten verfügbar sind.

Was ist zu befürchten?

Cyberkriminelle installieren sogenannte Web-Shells, so dass sie aus der Ferne Zugriff auf und Kontrolle über einen Online-Server haben. So können sie sozusagen eine Kommunikationslinie offen halten, um später einen Angriff zu starten. In den von uns untersuchten Listen fanden wir mindestens 400 Server, auf denen eine Web-Shell installiert wurde. In anderen Fällen ist es möglich, dass Hacker zusätzlich zu den betreffenden Web-Shells andere Malware installiert haben, um zu einem späteren Zeitpunkt anzugreifen, zum Beispiel mit einer Ransomware.

Was sollten Unternehmen und Organisationen tun?

CERT.be, der operative Dienst des ZCB, hat eine Stellungnahme veröffentlicht (letzte Version 16.03).

Unternehmen und Organisationen, die Exchange Online mit einem hybriden Set-up oder einen On-Premises Exchange Server für Verwaltungsanwendungen verwenden, sollten umgehend die folgenden Maßnahmen ergreifen:

Das Aktualisieren der Systeme
Das Löschen von Web-Shells
Das Prüfen der Web-Shell
Die Identifizierung verdächtiger Vorgänge

Der Exchange Online-Dienst ist jedoch nicht betroffen.

Unternehmen und Organisationen, die Schwierigkeiten mit diesen Schritten haben, wird empfohlen, einen IKT-Partner oder externen Experten mit der Durchführung dieser Maßnahmen zu beauftragen.

Mehr Informationen:

Die vollständige Stellungnahme (aktualisiert am 16.03)
Pressemitteilung ZCB (aktualisiert am 16.03)
Benutzer mit weniger Erfahrung können diesen Leitfaden von Microsoft verwenden. Das One-Click Microsoft Exchange On-Premises Mitigation Tool
Extensive Incident Response guide (aktualisiert von Microsoft am 16. März 2021)