Kritische Schwachstelle gefährdet über 2000 Exchange-Server in der Schweiz
Microsoft warnt vor einer kritischen Schwachstelle in Exchange-Servern. Angreifer können durch sie die Identität fremder Konten übernehmen und missbrauchen. Weltweit sind rund 97'000 Server angreifbar – mehr als 2000 davon in der Schweiz.
Administratoren von Microsoft-Exchange-Servern sollten diese möglichst rasch auf den neuesten Stand bringen und absichern. Grund ist eine neu bekannt gewordene kritische Schwachstelle, die von Angreifern bereits ausgenutzt wird. Die Schwachstelle mit der CVE-Nummer 2024-21410 ermöglicht sogenannte NTLM-Relay-Angriffe, wie Microsoft in einer Warnmitteilung schreibt. Bedrohungsakteure könnten "einen NTLM-Client wie Outlook mit einer Sicherheitsanfälligkeit vom Typ 'Offenlegen von NTLM-Anmeldeinformationen' angreifen", schreibt der Tech-Konzern. Mit diesen Informationen kann sich ein bösartiger Hacker dann im Namen des Opfers beim Server anmelden und beliebige Aktionen durchführen.
Wie "Bleeping Computer" unter Berufung auf Daten des Bedrohungs-Überwachungsdienstes Shadowserver schreibt, waren weltweit rund 97'000 Exchange-Server durch diese Schwachstelle angreifbar. Die am stärksten betroffenen Länder sind Deutschland, die USA, Grossbritannien, Frankreich, Österreich, Russland, Kanada und die Schweiz. Hierzulande gebe es demnach 2019 angreifbare Exchange-Server.
Das seit dem Patchday im Februar 2024 verfügbare "Exchange Server 2019 Cumulative Update 14" schliesst die Sicherheitslücke, indem es einen Schutzmechanismus namens "Extended Protection for Authentication" (EPA) aktiviert. Dieser war zuvor zwar verfügbar, musste jedoch manuell aktiviert werden. Auch für Exchange Server 2016 ist EPA verfügbar. Eingeführt wurde die Technologie mit einem Upgrade im August 2023. Allerdings müssen Administratoren EPA selber und mittels eines Skripts aktivieren.
Dass sich Exchange-Administratoren mitunter sehr viel Zeit nehmen beim Einspielen von Sicherheits-Patches zeigt das Beispiel der "ProxyNotShell"-Schwachstelle. Sie wurde erstmals im September 2022 entdeckt. Ein halbes Jahr danach waren in der Schweiz noch immer 600 Server angreifbar. Details dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.