18.11.2022 - Das NCSC hat Kenntnis von über 2'800 Microsoft Exchange Server in der Schweiz, welche eine kritische Verwundbarkeit namens «ProxyNotShell» aufweisen. Da diese Exchange Server ans Internet angeschlossen und von überall erreichbar sind, ist es Angreifern möglich, die Verwundbarkeit aus der Ferne auszunutzen und Code auszuführen («Remote Code Execution Vulnerability» - RCE). Angreifer können die Verwundbarkeit daher nutzen, um Microsoft Exchange Server zu kompromittieren.
Die kritische Verwundbarkeit namens «ProxyNotShell» ist seit September 2022 bekannt und wird bereits aktiv von Cyberkriminellen ausgenutzt («0day exploit»). Am Microsoft Patchday vom 8. November 2022 hat Microsoft einen entsprechenden Patch veröffentlicht, welcher die Verwundbarkeit behebt:
Microsoft Exchange Server Remote Code Execution Vulnerability («ProxyNotShell»):
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082
NCSC ruft auf, die Sicherheits-Patches einzuspielen
Obwohl der Patch bereits seit zwei Wochen verfügbar ist und aktiv Angriffe auf die Verwundbarkeit bekannt sind, wurden noch immer über 2'800 Microsoft Exchange Server in der Schweiz nicht gepatcht.
Bereits im März 2021 wurden kritische Verwundbarkeiten in Microsoft Exchange ähnlichen Ausmasses bekannt, welches das NCSC dazu veranlasste, betroffene Unternehmen per Einschreiben über die Verwundbarkeit zu informieren.
Empfohlene Massnahmen
Das NCSC empfiehlt Betreiberinnen von Microsoft Exchange Servern sicherzustellen, dass sämtliche Patches eingespielt sind. Patches von hoher Kritikalität sollten rasch möglichst, das heisst ausserhalb der ordentlichen Wartungsfenster, eingespielt werden.
- Stellen Sie sicher, dass Sie einen aktuelle Cumulative Update (CU) mit allen entsprechen Security Updates (Nov22SU) eingespielt haben;
- Überprüfen Sie Ihren Exchange Server mit dem HealthChecker, der von Microsoft zu Verfügung gestellt wird:
https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/; - Scannen Sie Ihren Exchange Server mit einem aktuellen Virenschutz;
- Überprüfen Sie Ihre Patch-Strategie und stellen Sie sicher, dass kritische Sicherheitsupdates auch ausserhalb von Wartungsfenster eingespielt werden.
Eigenverantwortung wahrnehmen
Unternehmen, welche bis Anfang Dezember 2022 die nötigen Sicherheitspatches nicht eingespielt haben, werden wiederum – soweit bekannt und identifizierbar - per Einschreiben durch das NCSC benachrichtigt werden. Gleichzeitig appelliert das NCSC aber auch an die Eigenverantwortung von Unternehmen und Betreiberinnen kritischer Infrastrukturen und weist nachdrücklich auf das Risiko einer Kompromittierung und der damit einhergehenden Schäden (Ransomware, Datendiebstahl) hin.
Letzte Änderung 18.11.2022