Drei Lücken sind mit dem Bedrohungsgrad „kritisch“ eingestuft. Sind Attacken erfolgreich, ist Microsoft zufolge die Ausführung von Schadcode möglich. So könnten Angreifer ganze Server mit der Groupware-Software kompromittieren und beispielsweise interne E-Mails und Termine einsehen. Admins sollten die Sicherheitsupdates so schnell wie möglich installieren. Das gilt vor allem dann, wenn Exchange-Server direkt über das Internet erreichbar sind.
Microsoft zufolge ist Exchange Online nicht von den Lücken betroffen. Für die folgenden verwundbaren Exchange-Server-Versionen haben die Entwickler abgesicherte Ausgaben veröffentlicht:
- Exchange Server 2010 (RU 31 for Service Pack 3)
- Exchange Server 2013 (CU 23)
- Exchange Server 2016 (CU 19, CU 18)
- Exchange Server 2019 (CU 8, CU 7)
Damit Admins ihre installierten Exchange-Server-Versionen zügig prüfen können, stellt Microsoft ein Skript zum Download bereit. Mit den Sicherheitsupdates schließen die Entwickler noch drei weitere Schwachstellen (CVE-2021-26412, CVE-2021-26858, CVE-2021-27078), auf die es derzeit aber keine Angreifer abgesehen haben sollen.
Exchange-Lücken: BSI ruft "IT-Bedrohungslage rot" aus
Weltweit über hunderttausend Exchange-Server sind bereits kompromittiert; in Deutschland sind es zehntausende. Und stündlich werden es mehr.
Quellen: heise.de, bsi.bunde.de