0-Day-Exploits auf Microsoft Exchange-Installationen

Microsoft hat mehrere Sicherheitslücken in seiner E-Mail-Software Exchange Server geschlossen, die von mutmaßlich chinesischen Angreifern ausgenutzt worden sind. Dabei handelte es sich um sogenannte 0-Day-Lücken, das heißt, die Sicherheitslücken waren vor dem Entdecken der Angriffe nicht bekannt und die Angreifer haben wohl gezielt nach diesen gesucht, um diese für die Angriffe auszunutzen. Der Softwarekonzern rief Kunden in der Nacht zum Mittwoch eindringlich dazu auf, schnell die bereitgestellten Sicherheitsupdates zu installieren.

Eine Woche vor dem regulären Update-Dienstag hat Microsoft außerplanmäßige Sicherheits-Updates für Exchange Server 2010 bis 2019 bereitgestellt. Sie schließen sieben Sicherheitslücken, darunter vier als kritisch eingestufte und drei, die als hohes Risiko ausgewiesen sind. Exchange Online ist nicht betroffen.

Vier dieser Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-2706) werden laut Microsoft bei gezielten Angriffen auf Exchange Server in Unternehmen und Organisationen ausgenutzt.

Das Microsoft Threat Intelligence Center (MSTIC) ordnet diese Angriffe einer Hacker-Gruppe namens „Hafnium“ zu. Dabei soll es sich um eine staatlich unterstützte Gruppe handeln, die von China aus operiert und angemietete VPN-Server in den USA nutzt.

UPDATE

Am Dienstag, den 13. April 2021, um 19 Uhr MESZ hat Microsoft im Rahmen seines Patchdays auch Updates für Exchange Server veröffentlicht [MIC2021a]. Diese schließen vier Schwachstellen die Tätern die Möglichkeit bieten, aus der Ferne Code auf dem Server auszuführen.
Nach Angaben des Herstellers sind die Schwachstellen kritisch.
Sicherheitsupdates stehen für die folgenden Versionen zur Verfügung:
• Exchange Server 2013 CU23
• Exchange Server 2016 CU19 und CU20
• Exchange Server 2019 CU8 und CU9
 
Bewertung des BSI:
Die Schwachstellen sind mit CVSS-Scores von bis zu 9,8 als kritisch zu bewerten. Sie wurden im Rahmen eines Coordinated Vulnerability Disclosure an Microsoft gemeldet und sind noch nicht öffentlich. Da Exchange Server aber gerade im besonderen Fokus der Angreifer stehen, ist mit einer hohen Wahrscheinlichkeit mit einer baldigen Ausnutzung zu rechnen. Die Installation der Patches sollte daher kurzfristig durchgeführt werden.
 
Ein Zusammenhang zu den Exchange Schwachstellen von Anfang März (BSI CSW-Nr. 2021-197772) scheint nicht zu bestehen.
 
Wartungskunden mit betreffenden Exchange Servern im Einsatz erhalten das Update von uns aufgespielt, ein Mitarbeiter der pcm meldet sich zeitnah.

pcm unterstützt jetzt beim Einspielen der Sicherheitsupdates

Wenn Sie Fragen zur Sicherheitslücke haben oder Hilfe bei der Aufspielen der Sicherheits-Updates benötigen – wir kümmern uns gerne darum… 

Sie benötigen Hilfe?

Gerne unterstützen wir…
– prompt, kompetent, konkret –

Ihre Frage(n) Rückrufbitte

Dennis Urbanczyk
Account Manager

Ähnliche Themen