Microsoft hat vier neue kritische Sicherheitslücken im Exchange 2013, 2016 und 2019 gepatcht.
Die Schwachstellen sind mit CVSS-Scores* von bis zu 9,8 als kritisch zu bewerten.
Sie wurden im Rahmen eines Coordinated Vulnerability Disclosure an Microsoft gemeldet und sind noch nicht öffentlich. Da Exchange Server aber gerade im besonderen Fokus der Angreifer stehen, ist mit einer hohen Wahrscheinlichkeit mit einer baldigen Ausnutzung zu rechnen. Die Installation der Patches sollte daher kurzfristig durchgeführt werden. Ein Zusammenhang zu den Exchange Schwachstellen von Anfang März (BSI CSW-Nr. 2021-197772) scheint nicht zu bestehen. (Quelle BSI, CSW-Nr. 2021-207541-1032, Version 1.0, 13.04.2021)
Soweit bekannt ist werden diese Lücken noch nicht aktiv genutzt. Allerdings sind alle vier Sicherheitslücken einfach auszunutzen. Zwei der Lücken sind Pre-Auth was bedeutet, dass keine Berechtigung am System notwendig sind um die Sicherheitslücken auszunutzen.
Durch die Hafnium Attacke dürften die Exchange Server auf der “dunklen Seite” gut inventarisiert sein, so dass eine Ausnutzung der Sicherheitslücken – zeitlich gesehen – eher eine Frage von Stunden als von Tagen ist.
Zu beachten gilt, dass auch diese Updates wieder über einen Administrativen Prompt installiert werden müssen. Weitere Informationen dazu findet man auf der jeweiligen Update Download Seite.
Ergänzend hierzu bieten die Cloud Designer Ihnen ihre Unterstützung an:
Support – CloudDesign (cloud-design.de)
Link zum Artikel des BSI:
Neue Schwachstellen in Microsoft Exchange Server (bund.de)
*Common Vulnerability Scoring System (CVSS, deutsch: „Bewertungssystem für häufige Schwachstellen“), ist ein Industriestandard zur Bewertung des Schweregrades von möglichen oder tatsächlichen Sicherheitslücken in Computer -Systemen.
Weitere interessante Beiträge aus unserem Blog:
https://www.cloud-design.de/wp-content/uploads/2021/01/IT-Support-hochformat.jpg
1333
1052
cloud-design
https://www.cloud-design.de/wp-content/uploads/2021/09/CD_Logo_RGB.png
cloud-design2023-03-08 10:03:062023-03-08 10:03:48Kritische Sicherheitslücke in Veeam Backup & Replication (CVE-2023-27532)
https://www.cloud-design.de/wp-content/uploads/2021/01/Cloud-Design_2000px_iStock-1193139637.jpg
1125
2000
cloud-design
https://www.cloud-design.de/wp-content/uploads/2021/09/CD_Logo_RGB.png
cloud-design2023-03-05 13:03:532023-03-06 09:13:12Arctic Wolf Partnerschaft für mehr Cyber Security
https://www.cloud-design.de/wp-content/uploads/2023/01/zertifiziert-fuer-MPP_4-3.jpg
900
1200
dw3-as
https://www.cloud-design.de/wp-content/uploads/2021/09/CD_Logo_RGB.png
dw3-as2023-01-11 10:25:162023-01-11 10:51:36Microsoft zeichnet CT Cloud Design für höchste Kompetenz aus
https://www.cloud-design.de/wp-content/uploads/2021/01/Cloud-Design_2000px_iStock-1094936800.jpg
1125
2000
cloud-design
https://www.cloud-design.de/wp-content/uploads/2021/09/CD_Logo_RGB.png
cloud-design2022-12-17 13:29:462022-12-20 14:53:06Microsoft führt EU Datengrenze ab 01. Januar 2023 ein
https://www.cloud-design.de/wp-content/uploads/2021/01/Cloud-Design_2000px_iStock-1203658166.jpg
1083
2000
cloud-design
https://www.cloud-design.de/wp-content/uploads/2021/09/CD_Logo_RGB.png
cloud-design2022-09-30 09:40:512023-01-11 10:37:42Neue Microsoft Exchange 0-Day
