QakBot sowie andere aktuelle Angriffe und wie diese verhindert werden können!

QakBot ist eine gefährliche Malware, die sich über verschiedene Methoden verbreitet, um Zugriff auf sensible Daten zu erlangen, Passwörter zu stehlen und weitere Schadsoftware nachzuladen. In diesem Blogpost erfahren Sie mehr über die aktuelle QakBot-Kampagne, die OneNote-Dateien als Angriffsvektor nutzt, und wie Sie sich davor schützen können.

Warum OneNote?

OneNote ist eine beliebte Anwendung von Microsoft, die es erlaubt, Notizen zu erstellen, zu organisieren und zu teilen. OneNote hat weltweit Millionen von Nutzern in verschiedenen Bereichen wie Bildung, Arbeit und persönlichem Leben. Leider haben auch Cyberkriminelle das Potenzial von OneNote erkannt und verwenden es als Alternative zu Office-Makros, die von vielen Sicherheitslösungen blockiert werden. Seit Ende Januar 2023 verbreiten Hacker QakBot-Malware über schädliche OneNote-Dateien, die entweder als Anhang oder als Link in Phishing-E-Mails verschickt werden.

Die Phishing-E-Mails sind oft als Antworten auf bestehende Kommunikationen getarnt, um das Vertrauen der Empfänger zu gewinnen. Die OneNote-Dateien enthalten eine Grafik, die den Nutzer auffordert, auf einen „Open“-Button zu klicken, um einen weiteren Anhang aus der Cloud herunterzuladen. Dieser Anhang ist eine HTML-Anwendung im .hta-Format, die die QakBot-Malware von einem entfernten Server lädt und ausführt.

Was macht QakBot so gefährlich?

QakBot ist eine modulare Malware, die verschiedene Funktionen hat, wie zum Beispiel:

  • Keylogging: QakBot zeichnet alle Tastatureingaben des Opfers auf und sendet sie an den Command-and-Control-Server der Hacker.
  • Credential Stealing: QakBot stiehlt Passwörter aus Browsern, E-Mail-Clients und anderen Anwendungen.
  • Banking Trojan: QakBot kann Online-Banking-Sitzungen manipulieren und Geldtransfers durchführen oder sensible Daten abfangen.
  • Lateral Movement: QakBot kann sich im Netzwerk ausbreiten und weitere Geräte infizieren.
  • Loader: QakBot kann weitere Schadsoftware nachladen, wie zum Beispiel Ransomware oder Spyware.

Wie können Sie sich vor QakBot und anderen Angriffen schützen?

Die beste Verteidigung gegen QakBot und andere Malware ist eine mehrschichtige Sicherheitsstrategie, die folgende Maßnahmen umfasst:

  • E-Mail-Sicherheit: Verwenden Sie eine zuverlässige E-Mail-Sicherheitslösung, die Spam-, Phishing- und Malware-E-Mails filtert und blockiert. Achten Sie auch auf verdächtige Absender, Betreffzeilen und Anhänge oder Links in E-Mails. Führen Sie ein Whitelisting für Ihre Anhänge ein. Blocken Sie Dateien mit der Endung .One
  • Endpoint-Sicherheit: Verwenden Sie eine leistungsstarke Endpoint-Sicherheitslösung, die Ihre Geräte vor bekannten und unbekannten Bedrohungen schützt. Aktualisieren Sie regelmäßig Ihre Betriebssysteme und Anwendungen, um Sicherheitslücken zu schließen.
  • Netzwerk-Sicherheit: Verwenden Sie eine robuste Netzwerk-Sicherheitslösung, die den Datenverkehr überwacht und verdächtige Aktivitäten erkennt und blockiert. Vermeiden Sie auch den Zugriff auf unsichere oder unbekannte Websites oder Dienste.
  • Backup-Sicherheit: Verwenden Sie eine zuverlässige Backup-Sicherheitslösung, die Ihre wichtigen Daten regelmäßig sichert und wiederherstellt. Bewahren Sie Ihre Backups an einem sicheren Ort auf, der von Ihrem Netzwerk getrennt ist.
  • Awareness-Schulung: Sensibilisieren Sie Ihre Mitarbeiter für die Risiken von Cyberangriffen und schulen Sie sie in den besten Praktiken für die E-Mail- und Internetnutzung. Ermutigen Sie sie auch dazu, verdächtige E-Mails oder Vorfälle zu melden.
  • Zero Trust: Implementieren Sie ein Sicherheitskonzept, welches davon ausgeht, dass alle Netzwerkverbindungen potenziell gefährlich sind. Ihr Leitsatz sollte lauten „Vertrau niemanden, überprüfe alles“. Zero Trust erfordert eine kontinuierliche Überwachung und Validierung aller Aktivitäten im Netzwerk, unabhängig davon, ob sie von innen oder außen kommen. Siehe Zero-Trust-Implementierung mit Microsoft 365
  • AD Hardening: Implementieren Sie das Active Directory Tiering Modell, um die Sicherheit von Ihrem Verzeichnisdienst zu verbessern. Siehe AD Tiering Struktur – Funktion und Nutzen

Fazit

Sicherheit ist ein Prozess, welcher ständig angepasst und verbessert werden muss. Nur die Kombination aus verschiedensten Sicherheitsansätzen verringert die Angriffsfläche sowie den potenziellen Schaden.

Ziel ist es, Angriffe frühzeitig zu erkennen, den Schaden somit einzugrenzen und die Produktivität des Unternehmens aufrecht zu erhalten. Hierzu gibt es leider keine einfache Software-Lösung. Nur die Kombination aus Erkennungssystemen, gehärteten und isolierten Sicherheitsebenen garantieren einen möglichst geringen Schaden.

Meetingkultur in Deutschland und Ansätze Meetings produktiver zu gestalten

Wer kennt es nicht? Man sitzt in einem Meeting, das sich ewig hinzieht, ohne dass etwas Konkretes dabei herauskommt. Die Teilnehmer reden aneinander vorbei, schweifen vom Thema ab oder wiederholen sich ständig. Die Stimmung ist gelangweilt, genervt oder aggressiv. Und am Ende hat man das Gefühl, wertvolle Zeit verschwendet zu haben.

Typischer Ablauf eines Meetings

Paul hält einen 60-Minuten-Monolog, zeigt diverse PowerPoint-Slides mit vielen Daten, Fakten und Zahlen. Die Teilnehmer blicken ab und an von Ihren Laptops auf. In der ganzen Zeit werden zwei fachliche Fragen von nur einer Person gestellt.

Was im Meeting an Beteiligung gefehlt hat, wird nun in der Kaffeeküche und der Raucherecke nachgeholt. Alle unterhalten sich lautstark über den Druck von oben durch die neuen Ziele und beklagen sich über die vergeudete Zeit, da die Informationen den meisten Mitgliedern bereits vorher zugespielt worden. Viele Kollegen haben konkrete Vorschläge zur Verbesserung einiger Entscheidungen. Auf die Frage, wieso das keiner im Meeting geäußert hat, werden Aussagen wie „Das interessiert doch keinen und verursacht nur noch Mehrarbeit“ geäußert.

Doch muss das so sein?

Sind Meetings per se ineffizient und frustrierend? Oder gibt es Möglichkeiten, die Meetingkultur in Deutschland zu verbessern und Meetings produktiver zu gestalten?

In diesem Blogpost möchte ich einige Ansätze vorstellen, die helfen können, die Qualität und den Nutzen von Meetings zu erhöhen. Dabei geht es nicht darum, Meetings abzuschaffen oder zu reduzieren, sondern sie sinnvoll zu gestalten und zu moderieren.

Klare Ziele und Agenda definieren

Ein häufiger Grund für unproduktive Meetings ist, dass die Ziele und die Agenda nicht klar definiert sind. Das führt dazu, dass die Teilnehmer nicht wissen, was sie erwarten können, was von ihnen erwartet wird und wie sie sich vorbereiten sollen. Außerdem kann es passieren, dass das Meeting vom eigentlichen Thema abweicht oder sich in Details verliert. Sicherlich finden Sie nun den ein anderen Termin ohne klare Agenda.

Um das zu vermeiden, sollte der Meeting-Organisator im Vorfeld klare Ziele und eine Agenda festlegen und diese an alle Teilnehmer kommunizieren. Die Ziele sollten SMART sein, also spezifisch, messbar, attraktiv, realistisch und terminiert. Die Agenda sollte die einzelnen Punkte auflisten, die besprochen werden sollen, sowie die dafür vorgesehene Zeit und die Verantwortlichen. Hierbei hilft die Methode Timeboxing, um die Dauer von Meetings zu begrenzen und zu strukturieren.

Dabei wird für jede Agenda ein fester Zeitrahmen festgelegt, der nicht überschritten werden darf. Das Ziel ist es, die Effizienz und Produktivität der Besprechungen zu erhöhen und Zeitverschwendung zu vermeiden. Timeboxing erfordert eine gute Planung, Moderation und Disziplin von allen Teilnehmern. Einige Vorteile von Timeboxing sind:

  • Es fördert eine klare und fokussierte Kommunikation.
  • Es vermeidet Abschweifungen und Nebendiskussionen.
  • Es erhöht die Motivation und das Engagement der Teilnehmer.
  • Es ermöglicht eine bessere Kontrolle und Nachverfolgung der Ergebnisse.

Beispiel Agenda

Ziel: Die Marketingstrategie für das nächste Quartal festlegen
Agenda:

  • Begrüßung und Einführung (5 Minuten)
  • Präsentation der Marktforschungsergebnisse (15 Minuten)
  • Diskussion der Stärken, Schwächen, Chancen und Risiken in 2er Teams (SWOT-Analyse) (20 Minuten)
  • Brainstorming von möglichen Marketingmaßnahmen (30 Minuten)
  • Priorisierung und Auswahl der Maßnahmen (15 Minuten)
  • Festlegung der Verantwortlichkeiten und des Zeitplans (10 Minuten)
  • Feedback und Abschluss (5 Minuten)

Die richtigen Teilnehmer einladen

Ein weiterer Grund für unproduktive Meetings ist, dass die Teilnehmer nicht relevant oder motiviert sind. Das kann daran liegen, dass sie nichts zum Thema beitragen können oder wollen, dass sie nicht informiert oder vorbereitet sind oder dass sie andere Prioritäten haben.

Um das zu vermeiden, sollte der Meeting-Organisator sorgfältig auswählen, wen er einlädt. Dabei sollte er sich fragen:

  • Wer ist direkt oder indirekt von dem Thema betroffen?
  • Wer hat die nötige Expertise oder Erfahrung?
  • Wer kann Entscheidungen treffen oder umsetzen?
  • Wer kann neue Perspektiven oder Ideen einbringen?

Die Anzahl der Teilnehmer sollte so klein wie möglich gehalten werden, um eine effektive Kommunikation und Interaktion zu ermöglichen. Eine Faustregel ist die sogenannte „Zwei-Pizza-Regel“, die besagt, dass ein Meeting nicht mehr Teilnehmer haben sollte als mit zwei Pizzen satt werden können.

Beispiel Teilnehmer

Für das Meeting zur Marketingstrategie werden folgende Teilnehmer eingeladen:

  • Der Marketing-Leiter als Organisator und Moderator
  • Die Marketing-Mitarbeiter als Experten und Umsetzer
  • Der Vertriebs-Leiter als Stakeholder und Entscheider
  • Der Produktmanager als Schnittstelle zum Produktteam
  • Der Marktforscher als Informationsquelle

Eine positive Atmosphäre schaffen

Ein weiterer Grund für unproduktive Meetings ist, dass die Atmosphäre negativ oder langweilig ist. Das kann daran liegen, dass die Teilnehmer sich nicht wohl oder respektiert fühlen, dass sie keine Lust oder Energie haben oder dass sie keine Beziehung zueinander haben. An dieser Stelle können verschiede „check-in“ oder „warm-up“ Techniken unterstützen. Auch die VEGAS-Regel kann sich als sehr nützlich erweisen.

Fazit

Wenn Sie den ganzen Artikel gelesen haben, sollte bei Ihnen bereits die Erkenntnis „Meetings müssen ausreichend vorbereitet werden“ gereift sein. Nehmen Sie sich die nötige Zeit und entwerfen Sie eine Agenda. Nutzen Sie Techniken wie Timeboxing, check-in, holen Sie sich zum Ende immer ein Feedback aller Beteiligten ein. Nur durch konstruktive Kritik können wir uns und unsere Organisation stetig verbessern.

Exchange Server Security Update März 2023

Kaum ein Monat vergeht ohne neue Sicherheitsupdates! Umso wichtiger ist ein Zero Trust Ansatz und die Umsetzung eines AD Tiering.

Die Sicherheit von IT-Systemen und Daten ist für jede Organisation von entscheidender Bedeutung. Doch die Zahl der Sicherheitsbedrohungen und -verletzungen nimmt stetig zu, und die herkömmlichen Sicherheitsmaßnahmen reichen nicht mehr aus, um einen wirksamen Schutz zu gewährleisten. Die traditionelle Annahme, dass alles innerhalb des eigenen Netzwerks vertrauenswürdig ist, während alles außerhalb des Netzwerks potenziell gefährlich ist, ist nicht mehr haltbar. Angreifer können sich leicht Zugang zu internen Ressourcen verschaffen, indem sie Schwachstellen ausnutzen, gestohlene Anmeldeinformationen verwenden oder Insider missbrauchen. Um dieser Herausforderung zu begegnen, benötigen Organisationen einen neuen Sicherheitsansatz, der auf dem Prinzip des Zero Trust basiert.

Im März 2023 hat Microsoft SUs für Exchange Server 2013, 2016 und 2019 veröffentlicht, die mehrere Schwachstellen beheben, die von Sicherheitspartnern an Microsoft gemeldet wurden oder durch Microsoft’s interne Prozesse gefunden wurden. Diese Schwachstellen können es einem Angreifer ermöglichen, aus der Ferne Code auszuführen, die Berechtigungen zu erhöhen oder sensible Informationen preiszugeben. Einige dieser Schwachstellen sind kritisch oder wichtig eingestuft und erfordern keine Benutzerinteraktion, um ausgenutzt zu werden.

Den originalen Techcommunity-Beitrag finden Sie hier:

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2023-exchange-server-security-updates/ba-p/3764224

Obwohl Microsoft keine aktiven Ausnutzungen dieser Schwachstellen im Internet bekannt ist, empfiehlt Microsoft dringend, diese Updates so schnell wie möglich zu installieren, um Ihre Umgebung zu schützen. Diese Updates sind sowohl als selbstextrahierende und .exe-Pakete als auch als ursprüngliche Update-Pakete (.msp-Dateien) verfügbar, die vom Microsoft Update-Katalog heruntergeladen werden können.

Liste über die einzelnen Schwachstellen:

  • CVE-2023-23397: Microsoft Office Outlook Escalation of Privilege (Outlook Updates dringend notwendig)
  • CVE-2023-24880: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete E-Mail sendet.
  • CVE-2023-24881: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Web Service sendet.
  • CVE-2023-24882: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Control Panel sendet.
  • CVE-2023-24883: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Autodiscover Service sendet.
  • CVE-2023-24884: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Unified Messaging Service sendet.
  • CVE-2023-24885: Eine Informationspreisgabe in Exchange Server, die es einem Angreifer ermöglicht, sensible Informationen aus dem Server zu extrahieren, indem er eine speziell gestaltete Anfrage an den Exchange Web Service sendet.

Zusätzlich zu den SUs für Exchange Server sollten Sie auch das Outlook-Sicherheitsupdate für Windows installieren, dass eine weitere Schwachstelle behebt, die mit CVE-2023-23397 zusammenhängt. Hierzu haben wir einen eigenen Artikel zur Verfügung gestellt. Dieses Update verhindert, dass Outlook eine Verbindung zu einer bösartigen SMB-Freigabe herstellt und den NTLM-Hash des Benutzers preisgibt.

Hier die Liste der behobenen Probleme:

Wir hoffen, dass Ihnen dieser Blogartikel geholfen hat, mehr über die neuen Exchange-Sicherheitsupdates März 2023 zu erfahren und wie Sie sie installieren können.

Wichtig: Outlook SU CVE-2023-23397

CVE-2023-23397 ist eine kritische Schwachstelle in Microsoft Outlook, die es einem Angreifer ermöglicht, die Windows-Anmeldedaten (NTLM-Hash) eines Opfers zu stehlen, indem er eine speziell gestaltete E-Mail sendet. Der Angreifer kann dann den Hash verwenden, um sich gegen andere Dienste zu authentifizieren. Dies kann zu einem Datenverlust oder einer Kompromittierung des Systems bzw. des kompletten AD’s (Stichwort: Lateral Movement) führen. Die Schwachstelle wurde bereits ausgenutzt von staatlich unterstützten und Ransomware-Akteuren. Microsoft hat ein Sicherheitsupdate für Outlook veröffentlicht, um diese Schwachstelle zu beheben.

Um sich zu schützen, sollten Sie das Update so schnell wie möglich installieren und überprüfen, ob Sie von der Schwachstelle betroffen sind.

Wichtig: Die Sicherheitslücke ist nicht abhängig von der Exchange Variante. Da es sich um eine Sicherheitslücke im Outlook Client handelt, sind auch Exchange Online Postfächer betroffen.

Wie überprüfe ich, ob ich bereits von der Schwachstelle betroffen bin.

Um zu überprüfen, ob Sie bereits von der Schwachstelle betroffen sind, können Sie ein Skript verwenden, das Microsoft erstellt hat. Das Skript sucht nach verdächtigen E-Mails in Ihrem Postfach und zeigt Ihnen an, ob Sie eine Verbindung zu einem Angreifer-Server hergestellt haben.

Sie können das Skript hier herunterladen:

https://github.com/microsoft/CSS-Exchange/tree/main/Security/CVE-2023-233971

Welche Outlook Versionen sind betroffen?

Die Schwachstelle CVE-2023-23397 betrifft die folgenden Outlook-Versionen:

  • Microsoft Outlook version 2013
  • Microsoft Outlook version 2016
  • Microsoft Outlook Version 2019
  • Microsoft Office LTSC 2021
  • Microsoft 365 Apps for Enterprise

Die Sicherheitsupdates finden sie unter: CVE-2023-23397 – Security Update Guide – Microsoft – Microsoft Outlook Elevation of Privilege Vulnerability

Wie führe ich das Skript aus?

Voraussetzungen für die Ausführung des Skripts für Exchange Server

Um dieses Skript in einer lokalen Exchange Server-Umgebung auszuführen, müssen Sie ein Konto mit der Verwaltungsrolle ApplicationImpersonation verwenden. Sie können eine neue Rollengruppe mit den erforderlichen Berechtigungen erstellen, indem Sie den folgenden PowerShell-Befehl in einer erhöhten Exchange Management Shell (EMS) ausführen:

New-ThrottlingPolicy "CVE-2023-23397-Script"
Set-ThrottlingPolicy "CVE-2023-23397-Script" -EWSMaxConcurrency Unlimited -EWSMaxSubscriptions Unlimited -CPAMaxConcurrency Unlimited -EwsCutoffBalance Unlimited -EwsMaxBurst Unlimited -EwsRechargeRate Unlimited
Set-Mailbox -Identity "<UserWhoRunsTheScript>" -ThrottlingPolicy "CVE-2023-23397-Script"

Um das Skript auszuführen, müssen Sie die folgenden Schritte befolgen:

  • Öffnen Sie eine PowerShell-Konsole als Administrator.
  • Wechseln Sie in das Verzeichnis, in dem Sie das Skript heruntergeladen haben.
  • Führen Sie den folgenden Befehl aus: .\CVE-2023-23397.ps1 -Mailbox
  • Warten Sie, bis das Skript abgeschlossen ist und überprüfen Sie die Ergebnisse.

Wie führe ich das Skript für alle Postfächer aus? (onPrem/lokal)

PS C:\> Get-Mailbox | .\CVE-2023-23397.ps1 -Environment Onprem

Voraussetzungen für die Ausführung des Skripts für Exchange Online

Wie führe das Skript für alle Exchange Online Postfächer aus?

Führen Sie das Skript zunächst im „Audit Mode“ als Administrator mit der Rolle Organisationsmanagement aus. Zum Scannen von Online-Postfächern sollte der Umgebungsparameter „Online“ sein.

Für das Scannen von Exchange Online-Postfächern benötigt das Skript eine Azure AD-Anwendung, die über Delegierungsberechtigungen für alle Exchange Online-Postfächer verfügt. Sie können die Anwendung mithilfe des Skripts erstellen. Sobald die Anwendung nicht mehr benötigt wird, können Sie sie ebenfalls mit dem Skript löschen.

AzureAD Anwendung verwalten:

Mit dieser Syntax wird das Skript zur Erstellung einer Azure-Anwendung ausgeführt:

.\CVE-2023-23397.ps1 -CreateAzureApplication

Mit dieser Syntax wird das Skript ausgeführt, um die vom Skript erstellte Azure-Anwendung zu löschen. (Erst nach der Ausführung des Skriptes notwendig)

.\CVE-2023-23397.ps1 -DeleteAzureApplication

Audit Mode:

Mit dieser Syntax wird das Skript zur Überprüfung aller Postfächer in Exchange Online ausgeführt. Hierzu muss vorher eine Verbindung mit dem Exchange Online in der PowerShell hergestellt werden, da „Get-Mailbox“ sonst nur die OnPremise Postfächer auflistet.

Connect-ExchangeOnline
Get-Mailbox| .\CVE-2023-23397.ps1 -Environment "Online"

Mit dieser Syntax wird das Skript ausgeführt, um alle Postfächer auf Elemente zu prüfen, die in einem bestimmten Zeitraum vorhanden waren.

Get-Mailbox | .\CVE-2023-23397.ps1 -Environment "Online" -StartTimeFilter "01/01/2023 00:00:00" -EndTimeFilter "01/01/2024 00:00:00"

Cleanup Mode:

Mit dieser Syntax wird das Skript ausgeführt, um die problematische Eigenschaft aus den Nachrichten zu löschen.

.\CVE-2023-23397.ps1 -CleanupAction ClearProperty -CleanupInfoFilePath <Path to modified CSV>

Mit dieser Syntax wird das Skript ausgeführt, um Nachrichten zu löschen, die die problematische Eigenschaft enthalten.

.\CVE-2023-23397.ps1 -CleanupAction ClearItem -CleanupInfoFilePath <Path to modified CSV>

Fehler bei der Skriptausführung und Fehlerbehebung

Exchange Server unterstützt die angeforderte Version nicht.

Wenn es Exchange 2013-Server in einer Umgebung mit Exchange 2016 oder Exchange 2019 gibt, kann das Skript möglicherweise keine Postfächer auf Exchange 2013 öffnen und den folgenden Fehler anzeigen:

Wenn der oben genannte Fehler auftritt, führen Sie das Skript mit dem Parameter EWSExchange2013 aus:

Get-Mailbox | .\CVE-2023-23397.ps1 -Environment Onprem -EWSExchange2013

Blockierte Autodiscover-Umleitung:

Wenn Autodiscover aufgrund eines Umleitungsfehlers fehlschlägt und der oben genannte Fehler auftritt, geben Sie die EWS-URL mit dem Parameter EWSServerURL an.

Exchange Server Security Updates Februar 2023

….und täglich grüßt das Murmeltier!

Microsoft hat wieder neue Sicherheitsupdates für Exchange 2013, 2016 und 2019 veröffentlicht. Die SUs vom Februar 2023 schließen Sicherheitslücken, welche von den Sicherheitspartnern von Microsoft gemeldet aber auch durch die internen Prozesse von Microsoft gefunden wurden. Aktuell sind laut Microsoft keine aktiven Exploits im Internet bekannt.

Dennoch empfehlen wir eine asap Aktualisierung der betroffenen Exchange Server.

Details zu den geschlossenen Schwachstellen finden sich hier:

Den offiziellen Artikel des Microsofts Exchange Team Blogs finden Sie hier:

Released: February 2023 Exchange Server Security Updates – Microsoft Community Hub

Bekannte Probleme

Nach der Installation der Sicherheitsupdates und der Aktivierung der Zertifikatssignierung der Powershell werden die Exchange Toolbox und die Funktion „Queue Viewer“ nicht mehr gestartet.

Fehlermeldung:

Unhandled Exception in Managed Code Snap-in

Deserialization fails due to one SerializationException: System.Runtime.Serialization.SerializationException: The input stream is not a valid binary format. The starting contents (in bytes) are: 23-73-69-67-23-72-2A-00-00-00-01-00-00-00-FF-FF-FF … 

at System.Runtime.Serialization.Formatters.Binary.SerializationHeaderRecord.Read(__BinaryParser input)

Exception type: System.InvalidCastException

Exception

Workaround 1:

Verwenden Sie die Exchange Management Shell (EMS) und die passenden CMDLETS:

Get-Queue, Suspend-Queue, Get-Message etc.

Workaround 2:

Deaktivieren Sie die Funktion „Certificate Signing of PowerShell Serialization Payload“, bis ein Update zur Verfügung steht. Führen Sie dazu die folgenden Befehle in einer erhöhten Instanz der Exchange Management Shell aus:

Get-SettingOverride -Identity "EnableSigningVerification" | Remove-SettingOverride 

Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh 

Restart-Service -Name W3SVC, WAS -Force 

PS: Am 11. April 2023, also in weniger als 60 Tagen, erreicht Exchange Server 2013 das End of Support!

Nach dem 11ten April wird Microsoft folgenden Support nicht mehr anbieten:

  • Technischen Support bei Problemen
  • Fehlerbehebungen für entdeckte Probleme
  • Sicherheitsbehebungen für entdeckte Schwachstellen, welche den Server anfällig für Sicherheitslücken machen können

Exchange Server 2013 läuft natürlich auch nach diesem Datum weiter; aufgrund der oben genannten Risiken empfehlen wir Ihnen jedoch dringend, so bald wie möglich von Exchange Server 2013 zu einem aktuellen Exchange Server/Online zu migrieren. Wenn Sie noch nicht mit der Migration von Exchange Server 2013 zu Exchange Online oder Exchange Server 2019 begonnen haben, sollten Sie jetzt unbedingt damit beginnen!

Ivy Lee Methode: Effiziente Zeitmanagement-Technik

Die Ivy Lee Methode ist eine bewährte Technik für Zeitmanagement und Produktivität, die bereits vor über 100 Jahren entwickelt wurde. Sie hilft, Prioritäten zu setzen und sich auf die wichtigsten Aufgaben zu konzentrieren, um ein erfolgreiches und erfülltes Arbeitsleben zu führen.

Wie funktioniert die Ivy Lee Methode?

Die Methode ist einfach und kann jederzeit und überall angewendet werden.

Folgende Schritte sind notwendig:

  1. Schreibe alle Aufgaben auf, die am nächsten Tag erledigt werden müssen.
  2. Sortiere diese Aufgaben nach Priorität und arbeite die wichtigste Aufgabe als erstes ab.
  3. Fahre fort mit der nächstwichtigsten Aufgabe und so weiter, bis alle Aufgaben abgearbeitet wurden.
  4. Überprüfe am Ende des Tages, ob alle Aufgaben erledigt wurden und plane für den nächsten Tag.

Warum funktioniert die Ivy Lee Methode?

Die Methode funktioniert, weil sie es ermöglicht, sich auf die wichtigsten Aufgaben zu konzentrieren, anstatt sich durch eine lange Liste unbedeutender Aufgaben zu arbeiten. Durch die Fokussierung auf die wichtigsten Aufgaben wird die Produktivität gesteigert und es bleibt mehr Zeit für andere Dinge.

Wie wende ich die Methode in meinem Alltag an?

Die Ivy Lee Methode ist ein wichtiger Bestandteil meiner festen Routinen, weil sie effektiv ist – aber eben auch effizient. Die konsequente Anwendung fördert die Resilienz und hilft mir somit trotz Stress gesund zu bleiben. Wenn wir anstehende Aufgaben möglichst genau aufschreiben, beunruhigen sie uns weniger. So können wir besser einschlafen. Und gesunder Schlaf stärkt wiederum unsere Widerstandskraft gegenüber Stress.

  1. Ich besitze eine Terminserie mit dem Namen „Fokuszeit“ – Jeden Tag zwischen 16:30-17:00 widme ich mich der Sortierung und Priorisierung meiner Aufgaben
  2. Ich nutze Planner und „To Do“ als Sammel-Todo-Liste für meine Aufgaben. Für E-Mails nutze ich die „Zur Nachverfolg“ Funktion, diese erstellt automatisch eine passende Aufgabe für mich. Aus meiner kumulierten Liste aus Planner und „To Do“ Aufgaben picke ich mir dann täglich die wichtigsten oder dringendsten für die Tagesplanung und ergänze diese durch spontan hinzugekommene Aufgaben.

Outlook Planner und To Do

Sobald ich etwas Zeit habe, priorisiere ich meine E-Mails vor. Hierzu nutze ich die Funktion „Zur Nachverfolgung“.

Während meiner „Fokuszeit“ rufe ich die „To Do“ App auf. Dies tue ich entweder über mein Outlook oder über Teams.

Microsoft Outlook mit „To Do“
Microsoft Teams mit der App „Task von Planner und To Do“

In der App finde ich nun alle Aufgaben aus Planner sowie „To Do“ und kann nun die Ivy-Lee-Methode perfekt umsetzen. E-Mails, welche ich für heute gekennzeichnet habe, erscheinen automatisch in den Listen „Mein Tag“ und „Gekennzeichnete E-Mail“.

Ansicht: Outlook „Gekennzeichnete E-Mail“
Ansicht: Outlook „Mein Tag“

Trends zur Identity Security 2023

Willkommen im Jahr 2023! Es wird Zeit endlich alle externen Benutzerzugriffe mit einer Multifaktor-Authentifizierung abzusichern. Vorzugsweise einer sicheren!

Jüngste Studien von Expert Insights bestätigen, was wir seit Ewigkeiten wissen, in den meisten Fällen sind Angriffe wie Ransomware nur die zweite Stufe, welche auf eine Identitätskompromittierung beruht. Viele neuartigen Techniken beruhen auf der Kompromittierung der Identität. Dies zeigt, wie wichtig es ist, den Schutz der Identitäten zur Grundlage unserer Sicherheitsstrategie zu machen.

Passwort-Angriffe

Einfache Passwortangriffe sind allgegenwärtig. Sie sind wie die Luft, welche wir alle atmen. Hierbei spielt die Größe oder der Umsatz des Unternehmens, welches angegriffen wird, keine Rolle. Denn diese Angriffe können effektiv in großem Umfang ausgeführt werden. Warum Kennwörter unsicher sind und selbst MFA nicht immer ausreichend ist! Erkläre ich ausführlich in dem folgenden Artikel.

  • Password spray: Erraten gängiger Kennwörter.
  • Phishing: Jemanden dazu bringen, seine Anmeldedaten auf einer gefälschten Website oder als Antwort auf eine SMS oder E-Mail einzugeben.
  • Breach replay: Die Wiederverwendung von Kennwörtern, welche von einer anderen Website entwendet wurden.

Microsoft wehrt mehr als 1.000 Passwortangriffe pro Sekunde ab. Bei 99,9 Prozent der kompromittierten Konten ist keine Multifaktor-Authentifizierung aktiviert. Eine mehrstufige Authentifizierung ist heute eine der effektivsten und grundlegendsten Abwehrmaßnahmen gegen Identitätsangriffe.

Oftmals werden leider aus Gründen der Bequemlichkeit keine mehrstufigen Authentifizierungen verlangt. Dabei gehört es doch selbst im privaten Umfeld zum absoluten Standard.

Online-Banking, Paypal, Apple etc. sind ohne mehrstufige Authentifizierung nicht mehr nutzbar.

Die Nutzung der Multifaktor-Authentifizierung ist das Wichtigste, was wir für unsere Sicherheit tun können.

Die altmodische Multifaktor-Authentifizierung war unsexy und erforderte das Kopieren von Codes vom Telefon oder einem Hardware-Token (OTP). Moderne Multifaktor-Authentifizierung mit Apps, Token oder dem Gerät selbst ist sehr reibungsarm oder sogar unsichtbar für die Benutzer.  Vorzugsweise müssen die Benutzer nicht mal mehr ein Kennwort eingeben.

Windows 10 und Windows 11 bieten eine kostengünstige und einfache In-Box-Alternative zu Kennwörtern, Windows Hello for Business, eine starke Zwei-Faktor-Authentifizierung für Azure Active Directory und Active Directory.

Sie sollten sich für das Jahr 2023 die Kampagne #GoPasswordless2023 auf die Fahne schreiben!

Warum Kennwörter unsicher sind und selbst MFA nicht immer ausreichend ist!

Alle paaren Wochen führen Sebastian und ich mindestens ein Gespräch, in welchem wir den Entscheidern erklären, warum die Aussagen wie „Wir haben komplexe und lange Kennwörter im Einsatz“, „Uns greift doch keiner an“ oder „Wir verwenden eine MFA-Lösung“ oftmals ein falsches Gefühl von Sicherheit vermitteln.

Denn die Sache ist die:

  • Viele der heutigen Attacken werden automatisch durchgeführt. Ein Taschendieb bewegt sich auch in der Menge, ohne sein wirkliches Opfer zu kennen.
  • Meistens spielt die Länge Ihres Kennwortes keine Rolle.

Um zu verstehen, warum dem so ist, sollten wir uns die wichtigsten Angriffe auf Kennwörter ansehen.

Attackeweitere NamenSchwierigkeitsgradBenutzerinteraktionenSpielt das Kennwort eine Rolle?
PhishingMan-in-the-middle, Abfangen von AnmeldedatenEinfach: Öffentlichen Hotspot bereitstellen. Links zu falschen Anmeldemasken via E-Mail, oder DNS, LLMNR, NetBios Spoofing, DHCPv6 verteilen. Einfache Tools wie Modlishka unterstützen den AngreiferVerwendet ein x-beliebiges WLAN
Meldet sich an und bestätigt die MFA
Nein, der Angreifer kann entweder das Kennwort erhalten, oder nutzt eine Pass-The-Hass und Pass-The-MFA Methode
KeyloggerMalware, Keystroke loggingMittel: Malware zeichnet Benutzernamen und eingegebene Kennwörter auf und überträgt diese.Anklicken von Links, Ausführen als Administrator, keine aktuellen Sicherheitsupdates oder VirensignaturenNein, sämtliche Informationen werden im Klartext übermittelt
Password sprayGuessing, hammering, low-and-slowTrivial:
Verwenden von öffentlichen Benutzerlisten und allgemeinen Kennwortlisten. Hierbei werden die Top 100 Kennwörter für Deutschland für eine große Anzahl an Benutzernamen verwendet.
Es werden häufige Kennwörter wie Spring123!, Winter2022, Sommer2023! etc. verwendet. Diese erfüllen häufig die KomplexitätsanforderungenNein,
wenn das Kennwort einem Top-Kennwort, befindet sich auf einer Kennwortliste, entspricht.
Brute forceDatabase extraction, crackingUnterschiedlich:
Kann einfach sein, wenn das Zielunternehmen nur schwach geschützt ist. Hash-Cracking des Passworts. Schwieriger wenn die NTDS.DIT physisch und betrieblich geschützt ist.
Nein,
außer Sie verwenden ein unbrauchbares Kennwort

Password Spray

Passwort-Spraying ist ein Angriff, bei welchem versucht wird, mit einigen wenigen, häufig verwendeten Kennwörtern auf eine große Anzahl von Konten (Benutzernamen) zuzugreifen. Die Angreifer „sprühen“ diese gängigen Kennwörter somit über ein ganzes Unternehmen. Dieser Angriff verfolgt demnach einen Massenansatz. Der Angreifer beginnt in der Regel mit einem verbreiteten Kennwort wie P@$$w0rd123, von dem er hofft, dass es von einem Benutzer im Unternehmen verwendet wird.

Die Benutzer wählen die gleichen Kennwörter vor allem deshalb, weil sie sehr einfach zu merken sind. Die Angreifer probieren daher gezielt oft verwendete Kennwörter von veröffentlichten Kennwortlisten aus.

Phishing/Man-in-the-middle

Leider können praktisch alle heute gebräuchlichen Authentifikatoren wie Telefon, SMS, E-Mail, OTP-Token (One-Time-Passcode) oder Push-Benachrichtigungen relativ einfach über Real-Time-Phishing abgefangen und genutzt werden. Hierzu muss ein Angreifer lediglich den Kommunikationskanal (Channel-Jacking) übernehmen. Aus diesem Grund empfehlen wir auch die Nutzung von eigenen LTE-Modems für besonders schützenswerte Benutzer wie Mitglieder der Geschäftsführung, Vorstand, Aufsichtsrat etc.

Wer wählt sich nicht gerne am Flughafen in den kostenlosen Hotspot „DUS Free WiFi Airpot“ ein?

Das macht aber nicht alle Authentifikatoren gleich anfällig.

Es ist sehr wichtig zu wissen, dass nur drei der genannten Authentifikatoren Ihre Benutzer vor Phishing-Angriffen schützen.

  • FIDO2
  • Windows Hello for Business
  • Zertifikatsbasierte Authentifizierung (CBA)

Windows 10 und Windows 11 bieten eine kostengünstige und einfache In-Box-Alternative zu Kennwörtern, Windows Hello for Business, eine starke Zwei-Faktor-Authentifizierung für Azure Active Directory und Active Directory.

Die unvermeidliche Pointe
Ihr Passwort spielt keine Rolle, außer für Passwort-Spray (vermeiden Sie die am häufigsten erratenen Passwörter mit einer Art Wörterbuch-Checker wie dem Password Protection Feature von Microsoft) oder Brute-Force (verwenden Sie mehr als 8 Zeichen, oder benutzen Sie einen Passwort-Manager, wenn Sie *wirklich* nervös sind). Das soll nicht heißen, dass Ihr Passwort sicher ist. Es ist *definitiv* nicht sicher, wenn man bedenkt, wie hoch die Wahrscheinlichkeit ist, dass es erraten, abgefangen, gefälscht oder wiederverwendet wird.

Effektive Passwortrichtlinien für Ihr Unternehmen mit FGPP: Tipps für die erfolgreiche Umsetzung

Die „Fine-Grained Password Policies“ (FGPP) sind ein Feature von Active Directory (AD), das es Administratoren ermöglicht, die Passwortrichtlinien für bestimmte Benutzer oder Benutzergruppen innerhalb einer Domäne zu konfigurieren. Mit FGPP können Administratoren unterschiedliche Passwortrichtlinien für verschiedene Benutzergruppen definieren, anstatt eine einzige Passwortrichtlinie für die gesamte Domäne zu verwenden.

FGPP ermöglicht es Administratoren, verschiedene Passwortrichtlinien auf der Grundlage von Attributen des Benutzers zu erstellen, z.B:

  • Mindestlänge des Passworts
  • Verwendung von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen
  • Passwortdauer und Anzahl der erlaubten Passwortänderungen
  • Passworthistorie

Diese Funktion kann helfen die Sicherheit zu erhöhen, da es ermöglicht die Passwortrichtlinien entsprechend dem Risiko der Benutzer oder Gruppen anzupassen. Zum Beispiel kann für administrative Accounts eine höhere Passwortkomplexität erforderlich sein als für normale Benutzer.

Es ist wichtig, dass Passwortrichtlinien regelmäßig überprüft und angepasst werden, um sicherzustellen, dass sie den aktuellen Sicherheitsbedürfnissen entsprechen und die Sicherheit nicht beeinträchtigt wird.

Im Zusammenhang mit der AD Tiering Struktur können so für die unterschiedlichen Tiers verschiedene Kennwortrichtlinien angewendet werden.

Im Folgenden werden wir eine typische Empfehlung umsetzen:

Alles, was wir hierzu benötigen, ist eine Powershell samt Active Directory Module.

Erstellung einer „PSO 190 days“ Richtlinie für Service-Accounts:

New-ADFineGrainedPasswordPolicy -Name "PSO 190 days" -Precedence 500 -ComplexityEnabled $true -Description "Password Policy for service accounts 190 days" -DisplayName "PSO 190 days service accounts" -LockoutDuration "0.12:00:00" -LockoutObservationWindow "0.00:15:00" -LockoutThreshold 2 -MaxPasswordAge "190.00:00:0" -MinPasswordAge "1.00:00:00" -MinPasswordLength 15 -PasswordHistoryCount 5 -ReversibleEncryptionEnabled $false

Erstellung einer „PSO 180 days“ Richtlinie für normale Benutzer:

New-ADFineGrainedPasswordPolicy -Name "PSO 180 days" -Precedence 500 -ComplexityEnabled $true -Description "Password Policy for Office Users 180 days" -DisplayName "PSO 180 days Office Users" -LockoutDuration "0.00:30:00" -LockoutObservervationWindow "0.00:15:00" -LockoutThreshold 5 -MaxPasswordAge "180.00:00:0" -MinPasswordAge "1.00:00:00" -MinPasswordLenght 10 -PasswordHistoryCount 5 -ReversibleEncryptionEnabled $false

Erstellung einer „PSO 90 days“ Richtlinie für T-0 sowie T-1 Administratoren:

New-ADFineGrainedPasswordPolicy -Name "PSO 90 days" -Precedence 500 -ComplexityEnabled $true -Description "Password Policy for administrative Users 90 days" -DisplayName "PSO 90 days administrative Users" -LockoutDuration "0.12:00:00" -LockoutObservationWindow "0.00:15:00" -LockoutThreshold 5 -MaxPasswordAge "90.00:00:0" -MinPasswordAge "1.00:00:00" -MinPasswordLength 12 -PasswordHistoryCount 5 -ReversibleEncryptionEnabled $false

Die Zuweisung der einzelnen Richtlinien erfolgt über Gruppenmitgliedschaften. Hierzu erstellen wir 3 globale Gruppen im AD.

Globale Gruppen

Nun verknüpfen wir die Richtlinien mit den neuen globalen Gruppen:

Add-ADFineGrainedPasswordPolicySubject "PSO 180 days" -Subjects k_PSO_180days
 
Add-ADFineGrainedPasswordPolicySubject "PSO 90 days" -Subjects k_PSO_90days
 
Add-ADFineGrainedPasswordPolicySubject "PSO 190 days" -Subjects k_PSO_190days

Nun ordnen wir sämtlichen Benutzeraccounts eine Richtlinie zu. Hierzu nehmen wir den Benutzer Julian.Schuetz mit in die Gruppe „k_PSO_180days“ mit auf. Den Benutzer T0-pad-jschuetz nehmen wir in die Gruppe „k_PSO_90days“ mit auf. Und den Service-Account T1-SVC-Sophos, Sie ahnen es sicherlich schon, nehmen wir in die Gruppe „k_PSO_190days“ mit auf.

Mit dem folgenden Befehl können wir nun die Anwendung der neuen Kennwortrichtlinie validieren:

Get-ADUserResultantPasswordPolicy -Identity julian.schuetz

Es empfiehlt sich für sämtliche Service-Accounts ein Verzeichnis zu pflegen:

#Service AccountSOPInterval
1KRBTGTPWChange_KRBTGT.docxAlle 3 Monate
2AzureadssoaccPWCHange_AzureADCCOACC.docx Alle 30 Tage
3T1-SVC-SophosPWCHange_T1-SVC-Sophos.docxk_PSO_190days
4Ergänzen und Pflegen  
Service-Account Verzeichnis

Der Vorteil liegt auf der Hand, durch die Pflege von einem Verzeichnis, können regelmäßige Kennwortänderungen für die Service-Accounts in den Administratoren Alltag leicht integriert werden. Jede Applikation erhält somit einen eigenständigen Account und eine passende Anleitung für den regelmäßigen Kennwortwechsel.

Für die kritischen Administratoren Gruppen im Active Directory sollten Break Glass Accounts eingerichtet. Die Passwörter für diese Accounts sind entsprechend lang und schützenswert und müssen ebenfalls in regelmäßigen Abständen geändert werden.

Projektmanagement-Basic: Der PDCA-Zyklus

Der PDCA-Zyklus, auch als Deming-Zyklus oder Shewhart-Zyklus bekannt, ist ein wichtiger Ansatz im Projektmanagement und in der Qualitätsverbesserung. Der PDCA-Zyklus besteht aus vier Schritten: Planen, Durchführen, Überprüfen und Handeln.

Im ersten Schritt, Planen (Plan), wird das Problem oder die Herausforderung identifiziert und ein Plan entwickelt, um das Problem zu lösen. Dieser Plan sollte klar definieren, was erreicht werden soll, wie es erreicht werden soll und wer dafür verantwortlich ist.

Im zweiten Schritt, Durchführen (Do), wird der Plan umgesetzt. Dieser Schritt beinhaltet die Durchführung der geplanten Aktivitäten und die Sammlung von Daten, um die Ergebnisse zu messen.

Im dritten Schritt, Überprüfen (Check), werden die Ergebnisse des Projekts überprüft, um festzustellen, ob die erwarteten Ergebnisse erreicht wurden. Es werden auch die Gründe für Abweichungen analysiert und bewertet.

Im letzten Schritt, Handeln (Act), werden die Ergebnisse der Überprüfung genommen, um die Prozesse und Aktivitäten zu verbessern und zukünftige Probleme zu vermeiden. Dieser Schritt beinhaltet die Durchführung von Korrekturmaßnahmen und die Implementierung von Verbesserungen.

Der PDCA-Zyklus hat viele Vorteile:

  • Er ermöglicht es, Probleme proaktiv zu identifizieren und zu lösen, anstatt sich auf Reaktionen zu beschränken.
  • Er fördert die kontinuierliche Verbesserung, indem Prozesse und Aktivitäten regelmäßig überprüft und verbessert werden.
  • Er ermöglicht eine systematische Vorgehensweise, indem alle Schritte des Prozesses von der Planung bis zur Umsetzung dokumentiert werden.

Es gibt jedoch auch einige Nachteile:

  • Der Zyklus kann Zeit und Ressourcen erfordern, um den Prozess effektiv durchzuführen.
  • Es erfordert Disziplin und Kontinuität, um sicherzustellen, dass der Prozess kontinuierlich durchgeführt wird.

Beispiel anhand eines Migrationsprojektes

Ein Beispiel für den Einsatz des PDCA-Zyklus bei einem Migrationsprozess könnte wie folgt aussehen:

  1. Plan (Plan): Das Unternehmen hat beschlossen, seine IT-Systeme von einer lokalen Umgebung in eine Cloud-basierte Umgebung zu migrieren. Ein Projektplan wird erstellt, der die Ziele, die erforderlichen Ressourcen und die Verantwortlichkeiten für die Durchführung des Projekts definiert.
  2. Durchführen (Do): Das Projektteam führt die geplanten Aktivitäten durch, wie zum Beispiel die Überprüfung und Vorbereitung der bestehenden IT-Systeme, die Durchführung von Tests, die Datenübertragung und die Konfiguration der Cloud-basierten Umgebung. Während des Prozesses werden Daten gesammelt, um die Auswirkungen der Migration auf die Geschäftsabläufe des Unternehmens zu messen.
  3. Überprüfen (Check): Das Projektteam überprüft die Ergebnisse des Projekts, um sicherzustellen, dass die Migration erfolgreich war und die Ziele des Projekts erreicht wurden. Es werden auch die Auswirkungen der Migration auf die Geschäftsabläufe des Unternehmens bewertet und Abweichungen analysiert.
  4. Handeln (Act): Das Projektteam erstellt einen Bericht, der die Ergebnisse der Überprüfung und die Empfehlungen für zukünftige Verbesserungen enthält. Korrekturmaßnahmen werden implementiert und Prozesse und Aktivitäten angepasst, um zukünftige Probleme zu vermeiden.

Es ist wichtig zu beachten, dass der PDCA-Zyklus kein einmaliger Prozess ist, sondern kontinuierlich wiederholt werden sollte, um die Prozesse und Aktivitäten kontinuierlich zu verbessern. In diesem Fall kann man nach erfolgreicher Migration regelmäßig überprüfen ob die Cloud-Umgebung die erwarteten Ergebnisse liefert und gegebenenfalls weitere Schritte unternehmen.

Cookie Consent mit Real Cookie Banner