Schon am Mittwoch hatte Hersteller Microsoft vier Sicherheitslücken (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065) in seiner Email-Software Exchange Server geschlossen. Dummerweise sollen die aber schon vorher von mutmaßlich aus China stammenden Hackern ausgenutzt worden sein.

Schon allein in Deutschland sollen nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) „zehntausende Exchange-Server“ über das Internet angreifbar und auch „mit hoher Wahrscheinlichkeit“ schon korrumpiert worden sein. Deshalb fordert das BSI betroffene Unternehmen zum sofortigen Handeln auf – auch über das Wochenende.

BSI hat Tausende Firmen angeschrieben

Nach eigenen Angaben hat die Behörde gestern mehr als 9.000 Unternehmen „in einem postalischen Schreiben direkt an die Geschäftsführungen“ kontaktiert.

Dieses Schreiben enthält auch Empfehlungen für geeignete Gegenmaßnahmen. Entsprechende Informationen und Maßnahmen zu den Schwachstellen in den Exchange-Servern hat das BSI auf einer Internetseite zusammengetragen.

Erste Maßnahmen

Die Betreiber von betroffenen Exchange-Servern (Exchange-Server-Versionen 2013, 2016 und 2019) sollten danach sofort die von Microsoft bereitgestellten Patches einspielen, empfiehlt das BSI.

Zusätzlich sollten diese Systeme dringend auf entsprechende Auffälligkeiten hin überprüft werden. Insbesondere Unternehmen, die ihre Mailserver nicht sofort am Mittwoch gepatcht haben, sollten ihre Installationen extrem gründlich prüfen.

Ältere Schwachstellen machen zusätzliche Probleme

Erschwerend kommt für das BSI kommt noch hinzu, dass tausende Systeme noch Schwachstellen aufwiesen, die eigentlich schon seit über einem Jahr bekannt, aber immer noch nicht gepatcht seien.

Im Feuer stehen hier vor allem kleine und mittelständische Unternehmen. Das größte Problem dabei ist, dass Angreifer die Sicherheitslücken in den Exchange-Servern per Fernzugriff über das Internet ausnutzen und damit auf die E-Mail-Kommunikation des Unternehmens zugreifen können.

Es ist es aber darüber hinaus auch möglich, über die verwundbaren Serversysteme Zugriff auf das komplette Unternehmensnetzwerk zu bekommen. Das wird laut GSI auch noch dadurch begünstigt dass Exchange-Server standardmäßig in vielen Infrastrukturen sehr hohe Rechte im Active Directory besitzen.

Weil den Hackern in aller Welt sogenannte Proof-of-Concept-Exploits zur Verfügung stehen und weil die Sicherheitsforscher starke Scan-Aktivitäten feststellen, geht das BSI aktuell von einem sehr hohen Angriffsrisiko für die Mailserver aus.