MENU Schließen
Schließen

Microsoft Exchange: Exploit-Monitoring

Eine kritische Schwachstelle in Microsoft Exchange, die vielfach ausgenutzt wurde, hat für Schlagteilen gesorgt. Das Bundesamt für Sicherheit in der Informationstechnik hat deshalb die Warnstufe rot ausgegeben. Wir zeigen in einem Video, wie Sie mit Enginsight prüfen können, ob Sie betroffen sind.

Eine kritische Schwachstelle in Microsoft Exchange, die vielfach ausgenutzt wurde, hat für Schlagteilen gesorgt. Das Bundesamt für Sicherheit in der Informationstechnik hat deshalb die Warnstufe rot ausgegeben. Wir zeigen in einem Video, wie Sie mit Enginsight prüfen können, ob Sie betroffen sind.

Eine Vielzahl von Angriffen auf Microsoft Exchange Server hat für viel Unruhe in der IT-Branche gesorgt. Betroffen war unter anderem die Europäische Bankenaufsichtsbehörde. Das Bundesamt für Sicherheit in der Informationstechnik hat deshalb die Warnstufe Rot ausgegeben und betont, dass Unternehmen aller Größen betroffen sind.

Was jetzt zu tun ist?

Alle Exchange-Server überprüfen, ob sie unter den attackierten Systemen sind und natürlich Updates einspielen. Damit das flott von der Hand geht hilft ihnen Enginsight. Mit Enginsight lässt sich automatisiert monitoren, ob es Hinweise auf das Ausnutzen der Schwachstellen des Microsoft Exchange Servers gibt. 

Dazu dient das von Microsoft bereitgestellte PowerShell-Skript als Grundlage. Es prüft Angriffsmerkmale, die für den Exploit der Schwachstelle typisch sind.

Um das Skript für das Exploit Monitoring zu nutzen, müssen lediglich kleine Anpassungen vorgenommen werden, um eine Variable in der Enginsight Custom Metrik zu hinterlegen.

Das angepasste Skript finden sie in unserem Blog. 

So ist das konkrete Vorgehen in Enginsight. Zur Vorbereitung vergeben sie allen Servern, auf denen Microsoft Exchange zum Einsatz kommt einen gemeinsamen Tag. Zum Beispiel „Exchange“. Stellen sie sicher, dass sie auf allen Exchange Servern die Ausführung von Plugins erlaubt haben. Nutzen sie dazu den Policy Manager.

Legen sie das Plug-In für die Custom Metrik an. Kopieren sie dazu das entsprechende Skript und führen es über einen Cronjob einmal täglich auf allen entsprechend vertaggten Hosts aus. 

Nun müssen sie nur noch einen Alarm auf die Custom Metrik legen. Wählen sie über den Tag die Exchange-Server aus, sowie die entsprechende Metrik und setzen sie einen Schwellwert größer als Null. Legen sie noch fest, wer benachrichtigt werden soll und setzen sie die Alarmkategorie auch kritischer Zustand,

So schnell sind sie fertig. Und nicht vergessen, möglichst schnell die entsprechenden Patches einspielen, um die Schwachstelle zu schließen.

Plugin-Skript für Custom Metrik

Das Skript haben wir zum Download hier bereitgestellt -> Custom Metrik Skript.txt

Mehr zum Schwachstellenmanagement mit Enginsight

Weitere Beiträge im Enginsight Blog
Die wahren Kosten eines Cyberangriff vs. Präventsionskosten - ein Fallbeispiel

Cybersecurity als Investition

Warum modernste Maßnahmen weniger kosten als die Folgen eines erfolgreichen Cyberangriffs Die Bedrohungslage steigt. Immer häufiger und immer ausgefeilter werden die Angriffe. So gut wie

White Hat

Mini-Pentest oder manueller Pentest?

Ist ein DIY-Pentest eine wirksame Cybersecurity-Maßnahme? Die zunehmende Komplexität in der Cybersicherheit fordert auch den Einsatz von neuen Technologien. Einfacher, besser… und sicherer? Es kommen

Security-Trends und Themen im Jahr 2024

Security-Trends und -Thesen 2024

Was sagen die Experten zu besonderen Bedrohungen, möglichen Schutzmechanismen/-technologien und den neuen Regularien? 2024 wird im Bereich Informations- und Cybersicherheit wohl wieder ein extrem anstrengendes

Enginsight Logo