Obgleich Microsoft Anfang der Woche via Twitter mitgeteilt hat, dass die Behandlung der Schwachstellen in Microsoft Exchange Servern (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065) große Fortschritte macht [externer Link][1], bleibt u.a. die Gefahr bestehen, dass auf auf diesem Wege kompromittierten Systemen bereits weitere, derzeit noch unbekannte Schadsoftware hinterlegt worden sein kann, die erst zu einem späteren Zeitpunkt für eine weitere Kompromittierung von Systemen oder Daten ausgenutzt wird. Beispielhaft sei der - bereits beobachtete - Einsatz von Ransomware genannt.
Betroffenen Einrichtungen wird daher empfohlen, das Systemverhalten der im Netzwerk vorhandenen Systeme ebenso wie den ein- und ausgehenden Netzwerkverkehr auch weiterhin auf Auffälligkeiten hin zu beobachten.
Hinweise zur Behebung der Schwachstellen, der Systemanalyse und insbesondere zu weiteren Indikatoren auf eine Systemkompromittierung erhalten betroffene Einrichtungen z. B. in den in der Zwischenzeit mehrmals aktualisierten Dokumenten (und den darin aufgeführten Referenzen) des Bundesamts für Sicherheit in der Informationstechnik:
- BSI-Cyber-Sicherheitswarnung des Bundesamtes für Sicherheit in der Informationstechnik [extern][2]
- BSI: Microsoft Exchange Schwachstellen - Detektion und Reaktion [extern][3]
Quellen
[1] https://twitter.com/msftsecresponse/status/1374075310195412992
[2] https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132.pdf
[3] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Vorfaelle/Exchange-Schwachstellen-2021/MSExchange_Schwachstelle_Detektion_Reaktion