Schon im März hatten Lücken in Microsofts Exchange Server das Bundesamt für Sicherheit in der Informationstechnik (BSI) die “IT-Bedrohungslage Rot” ausrufen lassen. Jetzt mahnt das BSI erneut dringend zum Patchen, um neue kritische Sicherheitslücken zu schließen.
Im Rahmen seines April-Patchdays hat Microsoft vorgestern unter anderem Updates für die Exchange Server-Versionen 2013, 2016 und 2019 herausgegeben, welche das Email- und Groupware-System gegen vier kritische Sicherheitslücken absichern sollen.
Das BSI warnt jetzt vor der großen Gefahr möglicher Angriffe auf diese Sicherheitslücken und ruft eindringlich dazu auf, die seit zwei Tagen verfügbaren Patches so schnell wie möglich einzuspielen.
Die Lücken wurden vom US-Geheimdienst NSA gemeldet
Über vier Lücken, die von der National Security Agency (NSA) an Microsoft gemeldet wurden, könnten Angreifer aus der Ferne Schadcode ausführen. Noch sei keine Ausnutzung der Lücken bekannt, sagt ein Tweet des BSI.
Das kann sich aber schnell ändern. “Da Exchange Server […] gerade im besonderen Fokus der Angreifer stehen, ist mit einer hohen Wahrscheinlichkeit mit einer baldigen Ausnutzung zu rechnen”, schreibt das BSI in einer parallel zu diesem Tweet veröffentlichten Sicherheitswarnung zu den Exchange-Lücken.
Eine Übersicht zu den verfügbaren Updates mit recht mageren Informationen zu den teilweise mit und teilweise auch ohne Authentifizierung ausnutzbaren Sicherheitslücken liefern die Advisories von Microsoft dazu:
- CVE-2021-28480: Exchange Server RCE Vulnerability
- CVE-2021-28481: Exchange Server RCE Vulnerability
- CVE-2021-28482: Exchange Server RCE Vulnerability
- CVE-2021-28483: Exchange Server RCE Vulnerability
Die aktuelle IT-Bedrohungslage des BSI: “Gelb”
In seiner aktuellen Sicherheitswarnung bewertet das BSI die aktuelle Bedrohungslage (ein vierstufiges Systems von Grau über Gelb und Orange bis Rot) noch mit Gelb. Die Beschreibung zur Stufe Gelb: “IT-Bedrohungslage mit verstärkter Beobachtung von Auffälligkeiten unter temporärer Beeinträchtigung des Regelbetriebs”.
Im März dieses Jahres hatten Exchange-Lücken schon zu einer Rot-Bewertung geführt. Dabei hatte Microsoft erst Updates bereitgestellt, als schon Angriffe liefen. In der Folge waren allein in Deutschland zehntausende Rechner auf Basis der März-Lücken über das Internet angreifbar, und weltweit sollen sogar hunderttausende Systeme von der Hackergruppe “Hafnium” übernommen worden sein.
Diesmal haben Admins aber die Chance, die Lücken zu schließen, bevor die Angriffe beginnen. Ein Zusammenhang zwischen den Lücken im März und den aktuellen Lücken ist dem BSI übrigens nicht bekannt.
Weitere Patches gegen Exchange-Lücken dürften folgen
Leider ist die Gefahr von Angriffen auf Schwachstellen in Exchange auch mit den aktuellen Patches noch nicht vorbei, denn Im Rahmen des Hackerwettbewerbs Pwn2Own 2021 haben gleich drei Forscher-Teams den Exchange Server “bearbeitet”. Details dazu können Sie einem Blogeintrag der Zero Day Initiative (ZDI) entnehmen, der die Ergebnisse des Hackerwettbewerbs listet.
Allerdings räumt die ZDI den Unternehmen jeweils 90 Tage Zeit ein, um Patches zu entwickeln, bevor sie Details zu den Exploits veröffentlicht.
Also ist zu hoffen, dass Microsoft aktuell schon an den nächsten Sicherheitsupdates für Exchange Server arbeitet und diese auch möglichst fertigstellt, bevor die Bedrohungslage wieder von Grau zu Gelb oder sogar zu Rot wechselt…
