Microsofts Exchange-Server ist bei zahlreichen Firmen für Mail- und Kalenderaufgaben zuständig. Insofern ist es immer besonders problematisch, wenn schwere Sicherheitslücken in der Software gefunden werden. Was sich aber in letzter Zeit rund um Exchange abspielt, ist schon bemerkenswert – wurden nun doch zum wiederholten Male sogenannte Zero-Day-Lücken bekannt, die bereits aktiv ausgenutzt werden, während es noch keinen Bugfix gibt.

Zero Day

In einem Blogeintrag warnen die Sicherheitsforscher von GTSC gleich vor zwei Lücken in der Microsoft-Software. Angeblich aus China stammende Angreifer sollen diese bereits nutzen, um auf Exchange-Systeme einzudringen und dort dann Hintertüren zu installieren.

Diese Position könnte einerseits genutzt werden, um die Kommunikation mitzulesen, aber auch, um von dort ausgehend weiter ins Firmennetzwerk vorzudringen. Die Angriffe sollen dabei ähnlich wie die Proxy-Shell-Attacken ablaufen, die Sys-Admins im Vorjahr auf Trab gehalten haben.

Einordnung

Aus Sicherheitsgründen wollen die Forscher bisher noch keine Details zu den Lücken nennen. Lediglich der CVSS-Score zur Schwere der Fehler wird genannt. Demnach soll dieser bei einer der Lücken bei 6.3 liegen, bei der anderen gar bei 8.8. Microsoft hat die beiden Sicherheitsprobleme mittlerweile bestätigt, gleichzeitig spricht man von "begrenzten gezielten Attacken". Ähnlich tönte das Unternehmen allerdings bereits bei früheren Angriffen gegen Exchange.

Wann es Updates zur Fehlerbereinigung geben wird, verrät Microsoft derzeit noch nicht. Zumindest liefert man in einem Artikel des Microsoft Security Response Center Informationen für einen Workaround, der die aktive Ausnutzung der Lücke verhindern soll. Wer ein entsprechendes System betreut, sollte sich diese Informationen unbedingt zu Gemüte führen.

Nicht alle betroffen

Einmal mehr betont Microsoft aber auch einen anderen Punkt: Von der Lücke sind nur Kunden betroffen, die Exchange auf ihren eigenen Servern betreiben. Bei der Cloud-Version von Exchange trete das Problem nicht auf. (apo, 30.9.2022)