BSI warnt vor angreifbaren Codeschmuggel-Lecks in tausenden Exchange-Servern

Das CERT-Bund des BSI warnt vor mindestens 18.000 Exchange-Servern in Deutschland, in die Angreifer Schadcode einschleusen können.

In Pocket speichern vorlesen Druckansicht 17 Kommentare lesen
Aktuelle Spam-Mails verteilen Ransomware im Namen des BSI

(Bild: Michael Traitov/Shutterstock.com)

Lesezeit: 2 Min.
Von

Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) bemängelt, dass viele Tausend Exchange-Server in Deutschland offene Outlook-Web-Access-Zugänge (OWA) aufweisen, dabei jedoch anfällig für das Einschleusen von Schadcode seien. Demnach seien mindestens 42 Prozent der Exchange-Server mit aus dem öffentlichen Internet erreichbaren OWAs in Deutschland betroffen.

Das BSI schreibt, dass mehr als 18.000 Exchange-Server einen offenen Outlook-Web-Access anbieten und für eine oder sogar mehrere Codeschmuggel-Lücken anfällig seien.

Ein Graph zeigt eindrücklich, wie eine neue Schwachstelle, die an einem Patchday geschlossen wurde, zunächst zu mehr verwundbaren Systemen führt, diese dann aber allmählich zurückgehen.

Im Zeitverlauf lässt sich erkennen, dass nach einem Patchday eine Sicherheitslücke hinzukam. Diese wurde über die Zeit bei einigen Systemen erst spät abgedichtet.

(Bild: CERT-Bund auf X)

Allerdings scheint der Zeitraum bis zum Installieren der Updates bei vielen Servern recht groß zu sein.

Das CERT-Bund führt weiter aus, dass etwa 11 Prozent der Exchange-Server mit erreichbarem OWA veraltete Server-Software einsetzen. Die erhält keinen Support und keine Sicherheitsupdates mehr, konkret handelt es sich um Microsoft Exchange 2010 und 2013.

Viele Server arbeiten sogar mit nicht mehr unterstützten Exchange-Versionen.

(Bild: CERT-Bund auf X)

Lediglich 20 Prozent der aus dem Netz erreichbaren Exchange-Server mit aktivem OWA in Deutschland sind dem BSI zufolge auf einem aktuellen Patch-Stand. Aufgeschlüsselt nach Sicherheitslücken sind mit derzeit von Microsoft noch unterstützten Exchange 2016- und 2019-Servern 34 Prozent für CVE-2024-26198 anfällig, wofür Microsoft im März einen Sicherheitsflicken bereitgestellt hat.

Die Ermahnung des BSI folgt rund drei Monate, nachdem die Behörde zuletzt vor mehr als 17.000 verwundbaren Exchange-Servern gegen Ende März warnte. Sie hatte dort auch die Warnstufe "orange" ausgegeben, was übersetzt bedeutet: "Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs". Die Sicherheitslage hat sich offenbar seitdem nicht gebessert – sondern im Gegenteil sogar verschlechtert.

Das BSI und der Verfassungsschutz haben diese Woche daher allgemein Administratoren dazu aufgerufen, verfügbare Updates schneller einzuspielen – etwa auch bei Outlook und Codesys. Von gut 1700 festgestellten Nutzern der Check Point Security-Gateway-Produkten habe demnach nur gut die Hälfte das inzwischen seit Wochen verfügbare Update eingespielt, mit dem die kritische Sicherheitslücke geschlossen wird.

(dmk)