Exchange-Lücke: Fast 40.000 deutsche Unternehmen spielen Russisch Roulette

Eine brisante Mischung: eine hochgefährliche Lücke im Exchange und aktive Angriffe. Doch über die Hälfte der betroffenen Unternehmen reagiert nicht.

In Pocket speichern vorlesen Druckansicht 366 Kommentare lesen
Exchange-Lücke: 30.000 deutsche Unternehmen spielen Russisch Roulette
Lesezeit: 3 Min.

Eine gefährliche Lücke, gegen die es bereits seit Februar Patches gibt und die bereits für Angriffe genutzt wird – und dennoch sind allein in Deutschland immer noch rund 40.000 Systeme angreifbar. Nicht irgendwelche Systeme. Es geht um Exchange-Server. Das sind die Kommunikationszentralen der Unternehmen, über die fast alles abgewickelt wird: E-Mail, Kalender, Kontakte. Trotzdem kümmern sich offenbar viele Administratoren nicht um deren Sicherheit.

Wie jetzt auch das BSI warnt, gibt es in Deutschland rund 40.000 Exchange-Server, die für die Lücke mit dem Bezeichner CVE-2020-0688 anfällig sind. Sie ermöglicht es, das System übers Netz komplett zu übernehmen. Mehr als die Hälfte aller Administratoren von Exchange-Servern mit einem direkt aus dem Internet erreichbaren Web-Interface setzt also auf das Sankt-Florian-Prinzip ("Verschon’ mein Haus, zünd’ and’re an!“).

Seit dem gestrigen Dienstag informiert deshalb das BSI/CERT-Bund die betroffenen Firmen über deren Provider, dass da dringender Handlungsbedarf besteht. Außerdem hat die Sicherheitsbehörde die IT-Bedrohungslage auf "3 / Orange" gesetzt. Das bedeutet: "Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs"

Man darf die Situation zwar nicht überdramatisieren. Für eine erfolgreiche Übernahme des Exchange-Servers benötigt der Angreifer bereits gültige Zugangsdaten zu einem Exchange-Konto. Doch diese Hürde ist nicht sonderlich hoch. Es genügt ein einziger mit einem Schädling infizierte Rechner oder ein unvorsichtiger Anwender, der auf eine Phishing-Mail hereinfällt. Mal ganz davon abgesehen, dass etwa die Emotet-Bande bereits reichlich Zugangsdaten gehortet hat. Das CERT-Bund stuft deshalb das Risiko zu Recht als "sehr hoch" ein.

Erschwerend hinzu kommt, dass der Exchange-Server sehr eng und häufig ohne ausreichende Absicherung an das Active Directory gekoppelt ist. Ein Angreifer kann "über die Kompromittierung eines Exchange-Servers somit je nach Systemumgebung schnell in den Besitz von Domänen-Administrator-Credentials gelangen" erklärt das BSI in seiner Sicherheitswarnung zu den Exchange-Lücken und rät betroffene Server schnellsmöglich zu aktualisieren.

Wenn Rapid7 und das BSI die anfälligen Server identifizieren können, dann dürfte das für Cybercrime-Banden auch kein Problem sein. Die können sich dann die betroffenen Unternehmen und Organisationen gezielt vornehmen. Es ist keine Frage ob, sondern nur wann es da zu massiven IT-Problemen kommen wird.

Siehe dazu auch auf heise Security:

(ju)