Achtung: SPAM-Angriffe auf M365-Nutzer

– so schützt du dich und dein Team!

Eigentlich sollte die Vorfreude auf die Martinsgans den heutigen Tag bestimmen. Stattdessen flattert seit den frühen Morgenstunden eine “Gans” gewaltige Flut an SPAM-Angriffen in die Postfächer von M365-Nutzern – eine neue Masche, bei der Vorsicht gefragt ist!

Wie läuft der Angriff ab? Die Hacker melden zufällig ausgewählte M365-Nutzer automatisiert auf tausenden Webseiten an. Das Ergebnis? Das Postfach wird mit Bestätigungsmails geflutet sodass kaum noch effektiv gearbeitet werden kann. Nach etwa 30-120 Minuten folgt dann der „Clou“: Ein Anruf über Microsoft Teams von einem vermeintlichen „Helpdesk/IT Support“. Das Ziel? Zugriff auf den Rechner!

So schützt man sich:

  • Informiere das Team über den Angriff und sensibilisiere die Mitarbeitenden.
  • Wichtig: Nimm keine Anrufe von unbekannten „Helpdesk“-Kontakten an!
  • Proaktive Maßnahmen: Beschränke die externe Teams-Kommunikation auf vertrauenswürdige Domains.

Fragen? Wir unterstützen gerne bei der Umsetzung der erforderlichen Maßnahmen.

SPAM-Angriffe auf M365-Nutzer

März-Update sorgt für Probleme bei Windows Server

Gut: Der März-Patchday von Microsoft schließt 59 Sicherheitslücken, einige davon kritisch. Noch besser: Laut Microsoft wurden die Lücken abgedichtet, bevor sie aktiv angegriffen werden konnten.

Weniger gut: Das Update (KB5035857) sorgt für Speicherlecks auf Domain-Controllern und lässt sie im Extremfall neustarten. Der Fehler tritt auf On-Prem- sowie auf Cloud-basierten Active-Directory-Domain-Controllern beim Versenden von Kerberos-Authentifizierungsanfragen auf.

Folgende Windows-Server-Versionen sind betroffen:

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Das Problem sei bekannt, schreiben die Entwickler. Man arbeite an einer Lösung, die in den kommenden Tagen veröffentlicht werden soll. Mehr Infos: https://bit.ly/3Vr8Aew

März-Update problematisch für Windows Server

Angriffe auf Exchange Server

Angriffe auf Exchange Server

Welche Systeme betroffen sind, welche Auswirkungen eine Infektion hat und wie Sie sich schützen können

Seit einigen Wochen sind Sicherheitslücken in Microsoft Exchange Ziel krimineller Cyber-Gruppen. Bereits zehntausende deutsche Exchange-Server großer wie auch kleiner Unternehmen sind laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) infiziert und angreifbar. Das BSI hat wegen der außerordendlich kritischen IT-Bedrohungslage bereits „Alarmstufe rot“ ausgerufen.

Hinter den Angriffen vermutet Microsoft gleich mehrere Hacker-Gruppen. Diese waren bisher eher durch gezielten Angriffe auf Netzwerke vor allem in Nordamerika aufgefallen. Die Hintergründe der scheinbar massenhaften ziellosen Attacken im Rest der Welt werfen bei den Untersuchungsbehörden derzeit noch Fragen auf.


Welche Systeme sind möglicherweise betroffen?

Umgebungen auf Basis der folgenden Exchange-Versionen sind eventuell Ziel der aktuellen Attacken.

  • Exchange 2010 (nur Schwachstelle CVE-2021-26857)
  • Exchange 2013
  • Exchange 2016
  • Exchange 2019

Laut Informationen des BSI sind solche Exchange-Umgebungen gefährdet, die aus dem Internet erreichbar sind – also bspw. über Online Web Access (OWA), ECP, Active Sync etc.


Wie gehen die Cyber-Kriminellen vor?

Durch Sicherheitslücken erstellen die Kriminellen sogenannte Webshells und können hierdurch auf den Systemen Befehle ausführen, diese gar übernehmen. Über Skripte, die in scheinbar harmlosen Dateien (beispielsweise PDFs) eingebunden sind, werden Kommunikationskanäle nach außen geöffnet, über die anschließend Betriebsgeheimnisse und (personenbezogene) Daten abgezogen werden können.


Wie kann man sich schützen?

Um die eigenen Umgebung zu schützen, muss unbedingt ein Patch eingespielt werden, den Microsoft zum Download bereitgestellt hat.

Sollten Sie Hilfe benötigen unterstützen wir Sie gerne beim Patchen. Schreiben Sie uns über support@premier-experts.de oder rufen Sie uns unter unserer Hotline-Nummer +49 (911)  95 15 19 50 an.


Wie kann man feststellen, ob das eigene Unternehmen bereits betroffen ist?

Datensicherung und Prüfskript

Um eine mögliche Kompromittierung zu prüfen, hat Microsoft über GitHub ein Prüfskript bereitgestellt. Bitte gehen Sie wie folgt vor:

  1. Deaktivieren Sie nach Möglichkeit die folgenden Dienste, um eine Infektion zu verhindern beziehungsweise zu erschweren:
    • Unified Messaging
    • Exchange Control Panel V Dir
    • Offline Address Book VDir
    • ActiveSync
    • Outlook Web Access (OWA)
  2. Sichern Sie Ihre Daten zur späteren Wiederherstellung oder weiteren Analyse. Erstellen Sie auch eine Offline-Sicherung von Systemsicherungen vom 02.03.2021 und ggf. früher.
  3. Führen Sie das Prüfskript von GitHub – microsoft/CSS-Exchange: Exchange Server support tools and scripts gemäß der dort hinterlegten Beschreibung aus.

Ergebnisanalyse

Die durch das oben aufgeführte Skript gelieferte Ergebnisliste kann Aufschluss über eine mögliche Infektion Ihrer Umgebung liefern. Suchen Sie bitte nach folgenden Einträgen:

  • 444/mapi/emsmdb/?#“,“200″
  • 444/ecp/proxyLogon.ecp?#“,“241″

Stoßen Sie in der Ergebnisliste auf diese beiden Einträge, muss von einer Kompromittierung Ihrer Umgebung ausgegangen werden.


Was tun bei einer Kompromittierung?

Ist Ihre Systemlandschaft betroffen oder vermuten Sie eine Kompromittierung, unterstützen wir Sie in dieser schwierigen Lage mit Rat und Tat. Wir machen Sie schnell wieder arbeitsfähig und sichern Ihre Systemlandschaft zukunftsfähig ab. Gerne beraten wir Sie auch ganz allgemein zu vorbeugenden Maßnahmen.

Wählen Sie einfach unsere Hotline +49 (911)  95 15 19 50 oder schreiben Sie uns eine Mail an support@premier-experts.de.

Weitere Informationen: