Am 10. Dezember 2020 erhielt Microsoft von Sicherheitsforschern einen Hinweis das es eine Schwachstelle gibt CVE-2021-26855. Microsoft bestätigte dann nach einer gewissen Zeit dies und versprach ein Fix heraus zu geben um das die Lücke zu schliessen.
Am 3. März kam dann eine Sicherheitsupdate raus und eine Sicherheitswarnung von Microsoft.
Aus unserer Sicht ist Gefahr in Verzug und Sie sollten umgehend ihre Server auf das aktuelle CU bringen und das Updates installieren. Wenn Sie keinen eigenen MS Exchange Server betreiben, dann bei Ihrem Hosting Partner nachfragen, ob Sie die unten genannten Schritte (Zeichnung) gemacht haben und wann sie diese gemacht haben.
Wenn Sie oder der Hosting Provider dies nicht können, dann sollten man umgehend die Erreichbarkeit aus dem Internet mit einer Pre-Authentication versehen und anonyme Zugriffe unterbinden. Das bricht allerding Anmeldungen per OAUTH, z.B. Exchange Hybrid Free/Busy und ist kein Schutz, dass ein authentifizierter Benutzer dann die Lücken ausnutzt oder es weitere Lücken gibt.
Rufen Sie uns an, wir haben den richtigen Prozess und das richtige Know-how dazu.
Unser Vorgehen bei diesem Fall ist wie folgt:
