Alert!

Jetzt patchen! Angreifer attackieren Microsoft Exchange Server

Derzeit kombinieren Angreifer verschiedene Sicherheitslücken und nehmen Exchange Server ins Visier. Sicherheitsupdates sind verfügbar.

In Pocket speichern vorlesen Druckansicht 103 Kommentare lesen

(Bild: Photon photo/Shutterstock.com)

Update
Lesezeit: 2 Min.
Inhaltsverzeichnis

Aufgrund von gezielten Attacken auf verschiedene Versionen von Exchange Server hat Microsoft wichtige Sicherheitsupdates außer der Reihe zum Download bereitgestellt. Drei Lücken sind mit dem Bedrohungsgrad „kritisch“ eingestuft. Normalerweise veröffentlicht Microsoft nur einmal im Monat Sicherheitspatches.

Sind Attacken erfolgreich, ist Microsoft zufolge die Ausführung von Schadcode möglich. So könnten Angreifer ganze Server mit der Groupware-Software kompromittieren und beispielsweise interne E-Mails und Termine einsehen. Admins sollten die Sicherheitsupdates so schnell wie möglich installieren. Das gilt vor allem dann, wenn Exchange-Server direkt über das Internet erreichbar sind.

In einer Warnmeldung weist Microsoft darauf hin, dass Angreifer für eine erfolgreiche Attacke eine nicht vertrauenswürdige Verbindung zum Exchange-Server-Port 443 aufbauen müssen. Erst wenn das gegeben ist, können Angreifer die vier Sicherheitslücken (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) ausnutzen und diese miteinander kombinieren.

Beispielsweise durch das Versenden von präpariertem HTTP-Anfragen melden sie sich an verwundbaren Servern an und nutzen eine weitere Schwachstelle aus, über die sie aufgrund von unzureichenden Überprüfungen eigenen Code ausführen können.

Microsoft zufolge ist Exchange Online nicht von den Lücken betroffen. Für die folgenden verwundbaren Exchange-Server-Versionen haben die Entwickler abgesicherte Ausgaben veröffentlicht:

Damit Admins ihre installierten Exchange-Server-Versionen zügig prüfen können, stellt Microsoft ein Skript zum Download bereit. Mit den Sicherheitsupdates schließen die Entwickler noch drei weitere Schwachstellen (CVE-2021-26412, CVE-2021-26858, CVE-2021-27078), auf die es derzeit aber keine Angreifer abgesehen haben sollen.

Einem Bericht von Microsoft zufolge steckt die staatlich gesponserte chinesische Hacker-Gruppe HAFNIUM hinter den Attacken. Die Hacker sollen es vor allem auf US-Firmen beispielsweise aus dem Industriesektor, Bildungseinrichtungen und NGOs abgesehen haben. Nach erfolgreichen Attacken sollen sie sich oft dauerhaft in Systemen festsetzen und Daten kopieren.

In dem Bericht findet man noch weitere Infos zur Vorgehensweise der Hacker. Außerdem listet Microsoft dort Indizien auf, an denen Admins bereits kompromittierte Server erkennen können.

(UPDATE, 03.03.2021 16:20 Uhr)

Formulierung im Abschnitt mit Links zu den Sicherheitsupdates überarbeitet.

(des)