Anfang des Monats geriet der Microsoft Exchange Server in die Schlagzeilen, weil der so genannte „Hafnium Exploit“, eine Zero-Day Schwachstelle, es dem Angreifer erlaubte, über http-Anfragen eine Webshell auf den Servern zu installieren.
Weltweit wurden mehrere hunderttausend Systeme dabei angegriffen und infiltriert. Am 2.3.2021 hat Microsoft Patches für die Schwachstellen veröffentlicht, welche spätestens zum jetzigen Zeitpunkt bei allen Systemen eingespielt sein sollten.
Doch was, wenn das Exchange System bereits infiltriert war, eine WebShell gefunden wurde und verdächtige Objekte auf meinen Servern aufgetaucht sind?
Viele Beispiele aus der Praxis zeigen, dass auch nach dem Durchführen der von Microsoft empfohlenen Schritte (hier in unserem Blog Artikel beschrieben), noch Schadsoftware auf den Systemen verblieben ist, welche eben nicht durch Standardisierte Skripts seitens des Herstellers oder Antiviren-Software entdeckt wurden.
Durch diese Hintertüren kommen die Angreifer dann zurück und können das gesamte IT-Netzwerk beispielsweise mit einer Ransomware verschlüsseln.
Auch mit vorhandenen Backups und Sicherheitssystemen ist man hiervor also nicht sicher und der Schaden, den ein Kryptotrojaner im Netzwerk anrichten kann, ist unter Umständen immens.
Doch wie schützt man sich effektiv?
Es ist vielen nicht bekannt, dass ein Exchange Server System, ob als Standalone-Installation oder in einer „Database Availability Group“, in wenigen Stunden ohne Datenverlust neu aufgesetzt werden kann und man somit sämtliche Sorgen vor einer kompromittierten Software auf dem Server mit einem mal aus der Welt schaffen kann.
In den wenigsten Fällen sind Ihre Email-Datenbanken von einer Schadsoftware befallen. Exchange Datenbanken sind in sich konsistent und können daher nicht ohne Weiteres einfach durch eine Schadsoftware infiltriert werden. Eine bestehende Windows Installation aber schon.
Durch eine Recovery Installation ersetzen Sie also das unter Umständen infizierte System und können aber Ihre Email-Datenbanken weiter benutzen, ohne Angst vor einer weiteren Kompromittierung haben zu müssen.
Handeln Sie lieber gleich bevor Sie mit Ihrem Unternehmen zu der wachsenden Anzahl an Firmen gehören, welche nun im Nachgang über Ihren Exchange Server Opfer eines Ransomware-Angriffs wurden.
Für weitere Fragen steht Ihnen das Proact-Consulting-Team gerne zur Verfügung.
Pascal Danovski
Pascal arbeitet seit 2021 bei Proact Deutschland und ist im Professional Service Bereich tätig. Seine Schwerpunkte sind die Cloudtechnologien von Microsoft sowie Microsoft Exchange. Mit diesen Schwerpunkten hilft er unseren Kunden dabei, Ihre IT-Infrastruktur fit für die Cloud zu machen.
