Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm - wieder einmal: "Mindestens 17.000 Instanzen von Microsoft-Exchange-Servern in Deutschland sind durch eine oder mehrere kritische Schwachstellen verwundbar. Hinzu kommt eine Dunkelziffer an Exchange-Servern in vergleichbarer Größe, die potenziell verwundbar sind." Ähnliche Warnungen in der Vergangenheit verhallten weitgehend ungehört. Jetzt ruft das BSI die Betreiber der Instanzen nachdrücklich dazu auf, "aktuelle Exchange-Versionen einzusetzen, verfügbare Sicherheitsupdates einzuspielen und die Instanzen sicher zu konfigurieren."
Aktuell werden dem BSI zufolge in Deutschland rund 45.000 Microsoft-Exchange-Server mit offen aus dem Internet erreichbarem Outlook Web Access (OWA) betrieben. Davon laufen rund 12 Prozent noch mit Exchange 2010 oder Exchange 2013. Für diese Versionen stellt Microsoft bereits seit Oktober 2020 beziehungsweise April 2023 keine Sicherheitsupdates mehr zur Verfügung gestellt.
Nachlässiges Patchen bei Exchange 2016 und Exchange 2019
Aber auch bei den aktuell von Microsoft noch unterstützten Versionen Exchange 2016 und Exchange 2019 sind die Betreiber nach BSI-Erkenntnissen mit Updates zumindest nachlässig: Rund 28 Prozent dieser Instanzen seien seit mindestens vier Monate nicht mehr gepatcht worden. Dies entspricht rund 25 Prozent aller Exchange-Server in Deutschland.
Die sind laut BSI nun "für eine oder mehrere kritische Schwachstellen verwundbar, welche einem entfernten Angreifenden die Ausführung beliebigen Programmcodes auf dem Opfersystem ermöglichen (Remote Code Execution, RCE).
Neue Exchange-Lücken erhöhen Handlungsbedarf
Anlass für die alarmierende Mitteilung aus dem BSI ist auch die am 13. Februar 2024 bekannt gewordene und als "kritisch" eingestufte Exchange-Schwachstelle in (CVE-2024-21410). Deren Ausnutzung kann unter anderem durch Aktivierung der "Extended Protection for Authentication" (EPA) verhindert werden.
Ob ein Server für diese Schwachstelle anfällig ist, hänge von mehreren Faktoren ab, die von außen nicht eindeutig bewertet werden könnten, erklärt das BSI. Das "Kumulative Update 14 für Exchange 2019" aktiviert "Extended Protection" standardmäßig. Dieses von Microsoft am 13.2.2024 veröffentlichte Update ist laut BSI jedoch lediglich auf 15 Prozent der Exchange Server in Deutschland installiert.
Noch gar nicht berücksichtigt hat das BSI in seiner Warnung das Risiko, dass von der ebenfalls aus der Ferne ausnutzbaren Schwachstelle CVE-2024-26198 ausgeht. Microsoft stuft die dafür seit 12. März verfügbaren Updates als "wichtig" ein, den Nutzern dürfte aber auch das wieder herzlich gleichgültig sein. Auch die Meldungen über erfolgreiche Angriffe über E-Mails auf Firmen wie Fujitsu in Japan, HPE in den USA und sogar Microsoft selbst scheinen sie ebenso wenig zu beeindrucken, wie die seit Jahren von Security-Experten ausgesprochene Warnung, dass E-Mails das häufigste Einfallstor für Cyberangriffe sind.
Diese Gefahren gehen von Exchange-Lücken aus
Das BSI verdeutlicht daher noch einmal die konkreten Gefahren, die von den eher abstrakten Schachstellen ausgehen: "Die kritischen Schwachstellen können von Angreifenden ausgenutzt werden, um beliebigen Programmcode auf betroffenen Exchange-Servern auszuführen. Zahlreiche Cyberkriminelle sowie staatliche Akteure nutzen mehrere der Schwachstellen aktiv aus, um darüber zum Beispiel Spam zur Verbreitung von Schadsoftware zu versenden, in interne Netzwerke der Opfer einzudringen und sensible Informationen auszuspähen oder gar das Active Directory vollständig zu kompromittieren und Ransomware zur Verschlüsselung von Daten mit anschließender Erpressung und Lösegeldforderung auszurollen."
Maßnahmen zum Schutz von E-Mail-Konten
Sechs gängige Fehlannahmen zu Cyber-Security
BSI warnt vor Sicherheitslücke in Microsoft Exchange