BSI warnt erneut eindringlich

Zu viele ungepatchte Exchange Server in Deutschland

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Das BSI hat bereits mehrfach vor Sicherheitslücken in Microsofts Exchange Server gewarnt und die Nachlässigkeit der Nutzer beim Patchen gerügt. Genutzt hat es wenig: Insgesamt sind der Behörde zufolge aktuell mindestens 37 Prozent der Exchange-Server in Deutschland „stark gefährdet“.
Viele Betreiber von Exchange Servern handeln laut BSI weiterhin "sehr nachlässig", weil sie zur Verfügung stehende Sicherheitsupdates nicht zeitnah einspielen.
Viele Betreiber von Exchange Servern handeln laut BSI weiterhin "sehr nachlässig", weil sie zur Verfügung stehende Sicherheitsupdates nicht zeitnah einspielen.
Foto: monticello - shutterstock.com

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm - wieder einmal: "Mindestens 17.000 Instanzen von Microsoft-Exchange-Servern in Deutschland sind durch eine oder mehrere kritische Schwachstellen verwundbar. Hinzu kommt eine Dunkelziffer an Exchange-Servern in vergleichbarer Größe, die potenziell verwundbar sind." Ähnliche Warnungen in der Vergangenheit verhallten weitgehend ungehört. Jetzt ruft das BSI die Betreiber der Instanzen nachdrücklich dazu auf, "aktuelle Exchange-Versionen einzusetzen, verfügbare Sicherheitsupdates einzuspielen und die Instanzen sicher zu konfigurieren."

Aktuell werden dem BSI zufolge in Deutschland rund 45.000 Microsoft-Exchange-Server mit offen aus dem Internet erreichbarem Outlook Web Access (OWA) betrieben. Davon laufen rund 12 Prozent noch mit Exchange 2010 oder Exchange 2013. Für diese Versionen stellt Microsoft bereits seit Oktober 2020 beziehungsweise April 2023 keine Sicherheitsupdates mehr zur Verfügung gestellt.

Nachlässiges Patchen bei Exchange 2016 und Exchange 2019

Aber auch bei den aktuell von Microsoft noch unterstützten Versionen Exchange 2016 und Exchange 2019 sind die Betreiber nach BSI-Erkenntnissen mit Updates zumindest nachlässig: Rund 28 Prozent dieser Instanzen seien seit mindestens vier Monate nicht mehr gepatcht worden. Dies entspricht rund 25 Prozent aller Exchange-Server in Deutschland.

Die sind laut BSI nun "für eine oder mehrere kritische Schwachstellen verwundbar, welche einem entfernten Angreifenden die Ausführung beliebigen Programmcodes auf dem Opfersystem ermöglichen (Remote Code Execution, RCE).

Neue Exchange-Lücken erhöhen Handlungsbedarf

Anlass für die alarmierende Mitteilung aus dem BSI ist auch die am 13. Februar 2024 bekannt gewordene und als "kritisch" eingestufte Exchange-Schwachstelle in (CVE-2024-21410). Deren Ausnutzung kann unter anderem durch Aktivierung der "Extended Protection for Authentication" (EPA) verhindert werden.

Ob ein Server für diese Schwachstelle anfällig ist, hänge von mehreren Faktoren ab, die von außen nicht eindeutig bewertet werden könnten, erklärt das BSI. Das "Kumulative Update 14 für Exchange 2019" aktiviert "Extended Protection" standardmäßig. Dieses von Microsoft am 13.2.2024 veröffentlichte Update ist laut BSI jedoch lediglich auf 15 Prozent der Exchange Server in Deutschland installiert.

Noch gar nicht berücksichtigt hat das BSI in seiner Warnung das Risiko, dass von der ebenfalls aus der Ferne ausnutzbaren Schwachstelle CVE-2024-26198 ausgeht. Microsoft stuft die dafür seit 12. März verfügbaren Updates als "wichtig" ein, den Nutzern dürfte aber auch das wieder herzlich gleichgültig sein. Auch die Meldungen über erfolgreiche Angriffe über E-Mails auf Firmen wie Fujitsu in Japan, HPE in den USA und sogar Microsoft selbst scheinen sie ebenso wenig zu beeindrucken, wie die seit Jahren von Security-Experten ausgesprochene Warnung, dass E-Mails das häufigste Einfallstor für Cyberangriffe sind.

Diese Gefahren gehen von Exchange-Lücken aus

Das BSI verdeutlicht daher noch einmal die konkreten Gefahren, die von den eher abstrakten Schachstellen ausgehen: "Die kritischen Schwachstellen können von Angreifenden ausgenutzt werden, um beliebigen Programmcode auf betroffenen Exchange-Servern auszuführen. Zahlreiche Cyberkriminelle sowie staatliche Akteure nutzen mehrere der Schwachstellen aktiv aus, um darüber zum Beispiel Spam zur Verbreitung von Schadsoftware zu versenden, in interne Netzwerke der Opfer einzudringen und sensible Informationen auszuspähen oder gar das Active Directory vollständig zu kompromittieren und Ransomware zur Verschlüsselung von Daten mit anschließender Erpressung und Lösegeldforderung auszurollen."

Mehr zum Thema

Maßnahmen zum Schutz von E-Mail-Konten

Sechs gängige Fehlannahmen zu Cyber-Security

BSI warnt vor Sicherheitslücke in Microsoft Exchange

Exchange-Sicherheitslücke verstärkt für Erpressung genutzt

"Valak"-Malware nimmt gezielt Exchange-Server ins Visier

Zur Startseite