Eine kritische Schwachstelle in Microsoft Exchange, die vielfach ausgenutzt wurde, hat für Schlagteilen gesorgt. Das Bundesamt für Sicherheit in der Informationstechnik hat deshalb die Warnstufe rot ausgegeben. Wir zeigen in einem Video, wie Sie mit Enginsight prüfen können, ob Sie betroffen sind.
Eine Vielzahl von Angriffen auf Microsoft Exchange Server hat für viel Unruhe in der IT-Branche gesorgt. Betroffen war unter anderem die Europäische Bankenaufsichtsbehörde. Das Bundesamt für Sicherheit in der Informationstechnik hat deshalb die Warnstufe Rot ausgegeben und betont, dass Unternehmen aller Größen betroffen sind.
Was jetzt zu tun ist?
Alle Exchange-Server überprüfen, ob sie unter den attackierten Systemen sind und natürlich Updates einspielen. Damit das flott von der Hand geht hilft ihnen Enginsight. Mit Enginsight lässt sich automatisiert monitoren, ob es Hinweise auf das Ausnutzen der Schwachstellen des Microsoft Exchange Servers gibt.
Dazu dient das von Microsoft bereitgestellte PowerShell-Skript als Grundlage. Es prüft Angriffsmerkmale, die für den Exploit der Schwachstelle typisch sind.
Um das Skript für das Exploit Monitoring zu nutzen, müssen lediglich kleine Anpassungen vorgenommen werden, um eine Variable in der Enginsight Custom Metrik zu hinterlegen.
Das angepasste Skript finden sie in unserem Blog.
So ist das konkrete Vorgehen in Enginsight. Zur Vorbereitung vergeben sie allen Servern, auf denen Microsoft Exchange zum Einsatz kommt einen gemeinsamen Tag. Zum Beispiel „Exchange“. Stellen sie sicher, dass sie auf allen Exchange Servern die Ausführung von Plugins erlaubt haben. Nutzen sie dazu den Policy Manager.
Legen sie das Plug-In für die Custom Metrik an. Kopieren sie dazu das entsprechende Skript und führen es über einen Cronjob einmal täglich auf allen entsprechend vertaggten Hosts aus.
Nun müssen sie nur noch einen Alarm auf die Custom Metrik legen. Wählen sie über den Tag die Exchange-Server aus, sowie die entsprechende Metrik und setzen sie einen Schwellwert größer als Null. Legen sie noch fest, wer benachrichtigt werden soll und setzen sie die Alarmkategorie auch kritischer Zustand,
So schnell sind sie fertig. Und nicht vergessen, möglichst schnell die entsprechenden Patches einspielen, um die Schwachstelle zu schließen.
Plugin-Skript für Custom Metrik
Das Skript haben wir zum Download hier bereitgestellt -> Custom Metrik Skript.txt