Am Mittwoch hatte Microsoft vier Sicherheitslücken (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065) in seiner E-Mail-Software Exchange Server geschlossen. Die sollen aber schon von mutmaßlich chinesischen Hackern ausgenutzt worden sein. Allein in Deutschland sollen laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) „Zehntausende Exchange-Server“ über das Internet angreifbar und „mit hoher Wahrscheinlichkeit“ schon infiziert worden sein. Das BSI fordert Unternehmen daher zum sofortigen Handeln auf – auch über das Wochenende.
BSI kontaktiert Tausende Firmen
Die Behörde hat eigenen Angaben zufolge am Freitag mehr als 9.000 Unternehmen kontaktiert – allerdings „in einem postalischen Schreiben direkt an die Geschäftsführungen“. In dem Schreiben enthalten sind auch Empfehlungen für Gegenmaßnahmen. Entsprechende Informationen und Maßnahmen zu den Schwachstellen in den Exchange-Servern hat das BSI auf dieser Seite zusammengetragen.
Betreiber von betroffenen Exchange-Servern (laut Microsoft die Exchange-Server-Versionen 2013, 2016 und 2019) sollen demnach sofort die von Microsoft bereitgestellten Patches einspielen, empfiehlt das BSI. Zudem sollten die Systeme dringend auf entsprechende Auffälligkeiten hin überprüft werden. Vor allem Unternehmen, die nicht sofort am Mittwoch gepatcht haben, sollten hier auf der Hut sein.
KMU-IT mit vielen ungepatchten Schwachstellen
Für das BSI kommt erschwerend hinzu, dass Tausende Systeme noch Schwachstellen aufwiesen, die seit über einem Jahr bekannt seien – und noch nicht gepatcht wurden. Davon, so die IT-Sicherheitsexperten, könnten vor allem kleine und mittelständische Unternehmen betroffen sein. Das Problem: Angreifer können die Sicherheitslücken in den Exchange-Servern per Fernzugriff über das Internet ausnutzen und damit auf die E-Mail-Kommunikation des Unternehmens zugreifen.
Darüber hinaus ist es aber auch möglich, über verwundbare Serversysteme Zugriff auf das komplette Unternehmensnetzwerk zu erlangen. Das liegt auch daran, so das BSI, dass Exchange-Server standardmäßig in vielen Infrastrukturen hohe Rechte im Active Directory besitzen. Weil Hackern weltweit sogenannte Proof-of-Concept-Exploit-Codes zur Verfügung stehen und Sicherheitsforscher starke Scan-Aktivitäten bemerken, geht das BSI aktuell von einem sehr hohen Angriffsrisiko aus.