Weiterhin verwundbare Microsoft Exchange Server in der Schweiz («ProxyNotShell») trotz Warnung des NCSC

02.02.2023 - Das NCSC hat bereits im November 2022 darüber informiert, dass über 2'800 Microsoft-Exchange-Server in der Schweiz verwundbar sind, da sie die kritische Verwundbarkeit namens «ProxyNotShell» aufweisen. Einen Monat später wurden rund 2000 Betreiber vom NCSC mittels eingeschriebenen Briefs aufgefordert, die Sicherheitslücke zu schliessen. Dennoch ist die Botschaft noch immer nicht überall angekommen. Über 600 Server in der Schweiz weisen das Einfallstor für Cyberkriminelle immer noch auf.

Melden Sie Schwachstellen

Microsoft hat im September 2022 informiert, dass es in ihren Exchange-Servern eine kritische Verwundbarkeit namens «ProxyNotShell» gibt und mit Verspätung im November 2022 ein Sicherheits-Update zur Verfügung gestellt. Die Lücke wird bereits seit längerer Zeit aktiv von Cyberkriminellen ausgenutzt («0day exploit»). Aus diesem Grund ist eine rasche Behebung des Problems sehr wichtig. Obwohl der Patch von Microsoft seit mehreren Monaten zur Verfügung steht, sind aktuell in der Schweiz immer noch 660 Server verwundbar.

Möglichst rasch das Update einspielen

Diese Zahl ist besorgniserregend, da das NCSC seit zwei Monaten in regelmässigen Abständen vor dieser Schwachstelle warnt und die Betreiber auch persönlich, mittels eingeschriebenen Briefs, zur Schliessung der Lücke auffordert. Jeder dieser 660 Server ist täglich gefährdet, Opfer eines Cyberangriffes zu werden.  Daher empfiehlt das NCSC die verwundbaren Server rasch möglichst zu patchen.

Den richtigen Sicherheitskontakt aufschalten

Das NCSC empfiehlt ausserdem, bei Anwendungen und Webseiten im Internet jeweils den Sicherheitskontakt «security.txt» zu hinterlegen und unbedingt die Richtigkeit der Adresse im Domain-Whois zu überprüfen. Denn nur so kann das NCSC bei einer nächsten Gefährdung möglichst rasch die zuständige Person kontaktieren. Ist dies nicht der Fall, bleibt dem NCSC nur noch der Versand von eingeschriebenen Briefen. Von den rund 2000 versandten Briefen konnten 83 Briefe aufgrund von falschen Adressangaben nicht ausgeliefert werden. 

Handlungsempfehlungen:

Das NCSC empfiehlt Betreibenden von Microsoft-Exchange-Servern sicherzustellen, dass sämtliche Patches eingespielt sind. Patches von hoher Kritikalität sollten rasch möglichst, das heisst ausserhalb der ordentlichen Wartungsfenster, eingespielt werden:

Microsoft-Exchange-Server Remote Code Execution Vulnerability («ProxyNotShell»):

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082

  • Stellen Sie sicher, dass Sie einen aktuelle Cumulative Update (CU) mit allen entsprechen Security Updates (Nov22SU) eingespielt haben;
  • Überprüfen Sie Ihren Exchange-Server mit dem HealthChecker, der von Microsoft zu Verfügung gestellt wird:
    https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/
  • Scannen Sie Ihren Exchange Server mit einem aktuellen Virenschutz;
  • Überprüfen Sie Ihre Patch-Strategie und stellen Sie sicher, dass kritische Sicherheitsupdates auch ausserhalb von Wartungsfenster eingespielt werden.

Letzte Änderung 02.02.2023

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2023/exchange.html