Monat: Februar 2024

Microsoft Exchange Zero-Day-Schwachstelle CVE-2024-21410

Schutzmaßnahmen gegen die kritische Exchange-Schwachstelle CVE-2024-21410

Am 13. Februar 2024 wurde eine hochkritische Sicherheitslücke im Microsoft Exchange Server, bekannt als CVE-2024-21410, öffentlich gemacht. Diese Schwachstelle, eingestuft mit einem CVSS-Wert von 9.8, ermöglicht es Angreifern, durch NTLM-Relay-Angriffe („Pass the Hash“) sensible Anmeldeinformationen zu stehlen und weitreichende Berechtigungen auf dem Exchange Server zu erlangen. Über 28.500 Exchange Server sind weltweit betroffen, insbesondere die Versionen vor dem Cumulative Update 14 für Exchange Server 2019.

Was ist CVE-2024-21410?

CVE-2024-21410 ist eine kritische Sicherheitslücke, die es ermöglicht, NTLM-Anmeldeinformationen mittels speziell präparierter Anfragen zu stehlen. Dies kann zur Übernahme der Identität legitimer Benutzer führen, was die Sicherheit der IT-Infrastruktur gravierend gefährdet.

Bedeutung der Extended Protection

Das Cumulative Update 14 für Exchange Server 2019 implementiert die Extended Protection als Standard, eine entscheidende Schutzmaßnahme gegen diese Angriffsart. Es ist wichtig zu beachten, dass das Update allein die Schwachstelle nicht schließt, sondern primär die Ausnutzung durch die Aktivierung der Extended Protection verhindert.

SSL-Zertifikatanforderungen

Für die Aktivierung der Extended Protection ist es erforderlich, dass alle Geräte, die SSL-Inspektion oder SSL-Bridging durchführen, das gleiche SSL-Zertifikat nutzen. Dies gewährleistet einen effektiven Schutz, erfordert jedoch eine sorgfältige Verwaltung der Zertifikate.

Überprüfung der Extended Protection

Administratoren sollten mithilfe des Exchange Health Checkers prüfen, ob die Extended Protection korrekt aktiviert ist. Auch Exchange Server 2016 ist durch CVE-2024-21410 gefährdet, wobei die Extended Protection über ein PowerShell-Skript aktiviert werden kann.

Einblick in die Problematik

Analysen zeigen, dass CVE-2024-21410 nicht nur Exchange Server betrifft, sondern auch den Internet Information Server (IIS), was das Risiko auf weitere IIS-basierte Dienste ausweitet.

Fazit

Angesichts der Schwere von CVE-2024-21410 ist es unerlässlich, die Extended Protection zu aktivieren oder auf alternative Authentifizierungsmethoden wie Kerberos umzustellen, um die IT-Infrastruktur zu schützen.

Link zum BSI: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-214205-1032.html

DOWNLOAD: CSW-Nr. 2024-214205-1032, Version 1.0, 15.02.2024

Wieso brauchen KMU ein outsourced Cyber Incident Response Team

Warum kleine und mittlere Unternehmen ein ausgelagertes Cyber Incident Response Team benötigen

In der heutigen digitalen Ära sind Cyberangriffe nicht mehr nur eine Bedrohung für Großkonzerne, sondern auch für kleine und mittlere Unternehmen (KMU). Diese sind oft sogar anfälliger für Cyberangriffe, da sie in der Regel nicht über die gleichen umfangreichen Ressourcen zur Abwehr solcher Bedrohungen verfügen. Ein Cyber Incident Response Team spielt eine entscheidende Rolle beim Schutz vor, der Erkennung von und der Reaktion auf Cyberangriffe. Doch für viele KMU stellt sich die Frage: Sollten wir diese Funktion intern aufbauen oder auslagern?

Bedeutung von Cyber Incident Response Teams für KMU

Begrenzte interne Ressourcen

Viele KMU stehen vor der Herausforderung, dass sie nicht die Ressourcen haben, um ein internes Team von Cybersicherheitsexperten aufzubauen und kontinuierlich weiterzubilden. Die Rekrutierung von Fachkräften in diesem Bereich ist nicht nur kostspielig, sondern auch schwierig, da die Nachfrage das Angebot bei weitem übersteigt.

Kosteneffizienz

Outsourcing an spezialisierte Dienstleister kann eine kosteneffiziente Lösung sein. Die Kosten für die Beauftragung eines externen Teams sind oft geringer als die Gehälter, die für ein internes Team aufgewendet werden müssten. Zudem entfallen weitere Kosten wie die fortlaufende Weiterbildung und die Bereitstellung der notwendigen technologischen Tools.

Fachwissen und Erfahrung

Externe Cyber Incident Response Teams bringen ein hohes Maß an Fachwissen und Erfahrung mit, das sie bei der Arbeit mit einer Vielzahl von Kunden und Technologien gesammelt haben. Diese Spezialisten sind stets auf dem neuesten Stand der Technik und können aufkommende Bedrohungen schnell erkennen und darauf reagieren.

Compliance und Risikomanagement

Viele KMU unterliegen gesetzlichen und branchenspezifischen Sicherheitsanforderungen. Ein ausgelagertes Team kann dabei helfen, diese Anforderungen zu erfüllen und das Risiko von Datenschutzverletzungen, die zu hohen Geldstrafen führen können, zu minimieren.

Fallstudie:

Ein mittelständischer Einzelhändler und der Kampf gegen Ransomware

Ausgangssituation und Herausforderung

Ein mittelständischer Einzelhändler mit 50 Filialen landesweit und einem wachsenden Online-Shop stand vor der Herausforderung, seine IT-Infrastruktur gegen Cyberbedrohungen zu schützen. Trotz einer kleinen internen IT-Abteilung fehlte es an spezialisiertem Wissen im Bereich Cybersicherheit.

Cyberangriff oder Sicherheitsvorfall

Das Unternehmen wurde Ziel eines Ransomware-Angriffs, der kritische Systeme verschlüsselte und den Betrieb sowohl in den physischen Filialen als auch im Online-Shop lahmlegte. Der Vorfall wurde außerhalb der Geschäftszeiten entdeckt, wodurch der Schaden weiter vergrößert wurde.

Reaktion und Lösung

Das Unternehmen aktivierte sein ausgelagertes Cyber Incident Response Team, das sofort Maßnahmen einleitete, um die Malware zu isolieren und zu entfernen, die betroffenen Systeme wiederherzustellen und die Sicherheitslücken zu schließen, durch die der Angriff erfolgt war. Das Team arbeitete rund um die Uhr, um den Betrieb innerhalb von 48 Stunden wiederherzustellen, und implementierte zusätzlich verbesserte Sicherheitsmaßnahmen, um zukünftige Angriffe zu verhindern.

Ergebnisse und Vorteile

Durch das schnelle Eingreifen des ausgelagerten Teams konnte das Unternehmen seine Systeme schnell wiederherstellen und den finanziellen Schaden minimieren. Die Kosten für das Outsourcing des Incident Response waren deutlich geringer als die potenziellen Verluste durch längere Ausfallzeiten und den Verlust des Kundenvertrauens. Zusätzlich verbesserte das Unternehmen seine Sicherheitsstandards und -protokolle, um die Resilienz gegen zukünftige Cyberangriffe zu stärken.

Fazit

Angesichts der komplexen und ständig wechselnden Landschaft von Cyberbedrohungen ist es für KMU essenziell, über effektive Maßnahmen zur Vorbeugung, Erkennung und Reaktion zu verfügen. Ein ausgelagertes Cyber Incident Response Team bietet eine kosteneffiziente, fachkundige und flexible Lösung, um diese Herausforderungen zu bewältigen. Es ist an der Zeit für KMU, diesen strategischen Schritt in Betracht zu ziehen, um ihre Cyber-Resilienz zu stärken.

Unsere Lösung:

Als outsourced Cyber Incident Response Team bieten wir kleinen und mittleren Unternehmen eine ideale Lösung, um auf Cyberangriffe schnell und effektiv zu reagieren. Unser Ansatz eliminiert die Notwendigkeit für diese Unternehmen, eigene, oft kostspielige, Expertenteams vorzuhalten. Wir bringen eine breite Expertise und Erfahrung mit verschiedenen Arten von Sicherheitsvorfällen mit, was eine schnelle Identifizierung und Behebung von Sicherheitslücken ermöglicht und die Ausfallzeiten minimiert. Darüber hinaus ermöglicht unsere Auslagerung eine flexible Skalierbarkeit, die sich den wechselnden Anforderungen und Bedrohungslandschaften anpasst, ohne dass zusätzliche Investitionen in Personal oder Technologie erforderlich sind. So können unsere Kunden von hochwertigen Sicherheitsdienstleistungen profitieren, die ansonsten finanziell und logistisch unerreichbar wären, und gleichzeitig ihr Geschäft und ihre Daten effektiv vor Cyberbedrohungen schützen.

Scroll to top