BSI warnt: Kritische Schwachstellen in Microsoft Exchange On-Premise

Zehn­tau­sen­de Exch­an­ge-Ser­ver in Deutsch­land sind nach Infor­ma­tio­nen des IT-Dienst­leis­ters Sho­dan über das Inter­net angreif­bar und mit hoher Wahr­schein­lich­keit bereits mit Schad­soft­ware infi­ziert. Betrof­fen sind Orga­ni­sa­tio­nen jeder Grö­ße. Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) hat begon­nen, poten­ti­ell Betrof­fe­ne zu infor­mie­ren. Es emp­fiehlt allen Betrei­bern von betrof­fe­nen Exch­an­ge-Ser­vern, sofort die von Micro­soft bereit­ge­stell­ten Patches einzuspielen. 

In der Nacht auf Mitt­woch, den 3. März 2021, hat Micro­soft kurz­fris­tig neue Sicher­heits­up­dates für das Pro­dukt „Exch­an­ge-Ser­ver“ ver­öf­fent­licht, mit dem vier Schwach­stel­len geschlos­sen wer­den. Die­se wer­den der­zeit aktiv von einer Angrei­fer­grup­pe aus­ge­nutzt. Sie kön­nen über einen Fern­zu­griff aus dem Inter­net aus­ge­nutzt wer­den. Zusätz­lich besit­zen Exch­an­ge-Ser­ver stan­dard­mä­ßig in vie­len Infra­struk­tu­ren hohe Rech­te im Acti­ve Direc­to­ry. Es ist denk­bar, dass wei­ter­ge­hen­de Angrif­fe mit den Rech­ten eines über­nom­me­nen Exch­an­ge-Ser­vers poten­ti­ell mit gerin­gem Auf­wand auch die gesam­te Domä­ne kom­pro­mit­tie­ren kön­nen. Bei Sys­te­men, die bis dato nicht gepatched wur­den, soll­te von einer Kom­pro­mit­tie­rung aus­ge­gan­gen wer­den. Auf­grund der öffent­li­chen Ver­füg­bar­keit von soge­nann­ten Pro­of-of-Con­cept Exploit-Codes sowie star­ken welt­wei­ten Scan-Akti­vi­tä­ten sieht das BSI aktu­ell ein sehr hohes Angriffsrisiko. 

Das BSI emp­fiehlt drin­gend das Ein­spie­len der von Micro­soft bereit­ge­stell­ten Sicher­heits­up­dates. Anfäl­li­ge Exch­an­ge-Sys­te­me soll­ten auf­grund des sehr hohen Angriffs­ri­si­kos drin­gend auf ent­spre­chen­de Auf­fäl­lig­kei­ten geprüft wer­den. Das BSI Lage­zen­trum arbei­tet 24/7. Betrof­fe­ne Orga­ni­sa­tio­nen fin­den hier Infor­ma­tio­nen. Infor­ma­tio­nen zur War­nung fin­den Sie hier.

Erschwe­rend kommt aktu­ell hin­zu, dass tau­sen­de Sys­te­me noch Schwach­stel­len auf­wei­sen, die seit über einem Jahr bekannt sind und noch nicht gepatched wur­den. Ins­be­son­de­re Klei­ne und Mit­tel­stän­di­sche Unter­neh­men (KMU) könn­ten hier­von betrof­fen sein. Neben dem Zugriff auf die E‑Mail-Kom­mu­ni­ka­ti­on der jewei­li­gen Unter­neh­men lässt sich von Angrei­fern über sol­che ver­wund­ba­ren Ser­ver-Sys­te­me oft­mals auch der Zugriff auf das kom­plet­te Unter­neh­mens­netz­werk erlangen. 

Im Rah­men sei­nes Enga­ge­ments zur Erhö­hung der IT-Sicher­heit bei KMU hat sich das BSI daher heu­te in einem pos­ta­li­schen Schrei­ben direkt an die Geschäfts­füh­run­gen der­je­ni­gen Unter­neh­men gewandt, deren Exch­an­ge-Ser­ver nach Kennt­nis des BSI betrof­fen sind und dar­in Emp­feh­lun­gen für Gegen­maß­nah­men gege­ben. Kon­tak­tiert wur­den mehr als 9.000 Unter­neh­men. Die tat­säch­li­che Anzahl ver­wund­ba­rer Sys­te­me in Deutsch­land dürf­te noch deut­lich höher liegen.