Microsoft warnt vor Zero-Day-Lücken in Exchange Server

Microsoft hat ein außerplanmäßiges Sicherheitsupdate für Exchange Server veröffentlicht. Es schließt vier zuvor unbekannte Zero-Day-Lücken, die nach Angaben des Unternehmens derzeit für zielgerichtete Hackerangriffe benutzt werden. Aufgrund des Schweregrads “kritisch” fordert das Unternehmen seine Kunden auf, die Updates schnellstmöglich einzuspielen. Betroffen sind Exchange Server 2013, 2015 und 2019, nicht aber Exchange Online.

Hinter den Angriffen soll eine Hackergruppe namens Hafnium stecken, die in Verdacht steht, von China aus zu operieren und dort staatliche Unterstützung zu erhalten. Die vier Schwachstellen nutzten die Angreifer, um auf E-Mail-Konten von Nutzern zuzugreifen. Laut einer Analyse des Sicherheitsanbieters Volexity sollen die Hacker die vollständigen Inhalte von E-Mail-Konten ausgespäht haben. Angriffe seien aus der Ferne und ohne Authentifizierung möglich. “Der Angreifer muss nur den Exchange Server kennen und das Konto, aus dem er die E-Mails extrahieren möchte”, teilte Volexity mit.

Die vier Anfälligkeiten mit den Kennungen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 erlauben jeweils das Einschleusen und Ausführen von Schadcode aus der Ferne. Der erste Bug macht Exchange Server Anfällig für Server-Side-Request-Forgery-Angriffe und erlaubte es den Angreifern, beliebige Anfragen ohne Authentifizierung an einen Exchange-Server zu senden. Der zweite Bug machte es möglich, Code mit Systemrechten auszuführen.

Die dritte und vierte Schwachstelle schließlich ermöglichte es jeweils, Dateien in beliebigen Ordnern des bereits gehackten Servers abzulegen. Auf den angegriffenen Servern richteten die Hacker letztlich eine Web Shell für den Fernzugriff und die Steuerung des Servers ein.

Microsoft geht davon aus, dass auch nach Veröffentlichung der Patches weitere Cyberkriminelle und Hacker versuchen werden, die Anfälligkeiten für ihre Zwecke einzusetzen. “Obwohl wir schnell daran gearbeitet haben, ein Update für die Hafnium-Exploits bereitzustellen, wissen wir, dass viele nationalstaatliche Akteure und kriminelle Gruppen schnell handeln werden, um alle ungepatchten Systeme auszunutzen. Die sofortige Anwendung der heutigen Patches ist der beste Schutz gegen diesen Angriff”, schreibt Tom Burt, Corporate Vice President für Customer Security & Trust, in einem Blogeintrag.

Wie Bleeping Computer berichtet, hat der Sicherheitsanbieter Eset bei der Auswertung von Telemetriedaten bereits Hinweise auf weitere Attacken gefunden. Demnach sollen drei weitere Hackergruppen, die ebenfalls aus China heraus agieren sollen, mindestens die Schwachstelle CVE-2021-26855 missbrauchen. Die Ziele befänden sich überwiegend in den USA, aber auch in Europa, Asien und dem Mittleren Osten. Die Hacker nähmen neben Behörden auch Anwaltskanzleien, Unternehmen und medizinische Einrichtungen ins Visier.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago