Support: +49 (0)209 38642-22        Supportfall melden

Microsoft Exchange Schwachstellen

Nachdem wir bereits in unserem Sonder-Newsletter auf die Schwachstellen in Microsoft Exchange Servern hingewiesen haben, möchten wir noch einmal genauer auf das Thema eingehen, da es sich um eine ernstzunehmende Bedrohung für die Sicherheit von Unternehmensdaten handelt und es neue Erkenntnisse zu dem Thema gibt.

Das BSI hat eine erweiterte Liste an Server-Versionen veröffentlicht, für die Sicherheitsupdates zur Verfügung stehen:

  • Exchange Server 2010 (SP 3 RU)
  • Exchange Server 2013 (CU 23, CU 22, CU 21)
  • Exchange Server 2016 (CU 20, CU 19, CU 18, CU 17, CU 16, CU 15, CU 14, CU 13, CU 12, CU 11, CU 10, CU 9, CU 8)
  • Exchange Server 2019 (CU 9, CU 8, CU 7, CU 6, CU 5, CU 4, CU 3, CU 2, CU 1, RTM)

Hinzu kommen weitere ältere Versionen, die "sehr wahrscheinlich" angreifbar sind. Das gefährliche an den veröffentlichten Schwachstellen ist, dass sie in Kombination einen direkten Zugang zum internen Netz eines Unternehmens schaffen können. Ein Angriff erfolgt dabei in mehreren Schritten.

CVE-2021-26855 ist eine Schwachstelle, die es dem Angreifer ermöglicht, über Port 443 eine Verbindung herzustellen, HTTP-Anfragen zu senden und sich als Exchange-Server zu authentifizieren. Anschließend kann die Sicherheitslücke CVE-2021-26857 dazu genutzt werden, höhere Rechte zu erlangen und als Nutzer "SYSTEM" Schadcode auszuführen. CVE-2021-26858 und CVE-2021-27065 ermöglichen nach erfolgreicher Authentifizierung mithilfe der bereits genannten Schwachstellen dann das Schreiben von Dateien und somit das Installieren einer Hintertür, z.B. in Form einer Webshell. Ist das geschehen, ist ein dauerhafter Zugriff sogar nach dem Installieren von Sicherheits-Patches möglich. Durch das parallele Ausnutzen mehrere Schwachstellen ist es also neben dem Auslesen aller auf dem Exchange liegenden Postfächer ebenfalls möglich, beliebige Dateien, Schadprogramme etc. auf dem Server abzulegen und aus der Ferne auszuführen.

Zunächst wurde eine chinesische Hacker-Gruppe namens HAFNIUM mit den ersten Attacken auf hauptsächlich amerikanische Unternehmen und Institutionen in Verbindung gebracht. Nach neusten Erkenntnissen nutzen nun aber etliche andere Gruppierungen die Schwachstellen ebenfalls aus. Allein in Deutschland waren zum Zeitpunkt der Veröffentlichung weit über 50.000 Server betroffen. Wir möchten Sie dringend bitten, diese Bedrohung nicht auf die leichte Schulter zu nehmen. Selbst das Einspielen der entsprechenden Patches reicht oft nicht aus, um Ihre Unternehmensdaten sicher zu wissen. Ist es bereits zu einer Kompromittierung gekommen, müssen eingerichtete Zugänge wie die oben genannten Webshells, also Schnittstellen, über die remote Dateien und Kommandos ausgeführt werden können, identifiziert und beseitigt werden.

Unsere Servicekunden haben wir aktiv kontaktiert, um die weitere Vorgehensweise zu besprechen. Alle anderen Nutzer von den genannten Exchange Servern möchten wir dringend nahelegen, zu handeln. Sprechen Sie uns an, wir finden gemeinsam eine Lösung.