Microsoft hat vier neue kritische Sicherheitslücken im Exchange 2013, 2016 und 2019 gepatcht.
Die Schwachstellen sind mit CVSS-Scores* von bis zu 9,8 als kritisch zu bewerten.
Sie wurden im Rahmen eines Coordinated Vulnerability Disclosure an Microsoft gemeldet und sind noch nicht öffentlich. Da Exchange Server aber gerade im besonderen Fokus der Angreifer stehen, ist mit einer hohen Wahrscheinlichkeit mit einer baldigen Ausnutzung zu rechnen. Die Installation der Patches sollte daher kurzfristig durchgeführt werden. Ein Zusammenhang zu den Exchange Schwachstellen von Anfang März (BSI CSW-Nr. 2021-197772) scheint nicht zu bestehen. (Quelle BSI, CSW-Nr. 2021-207541-1032, Version 1.0, 13.04.2021)
Soweit bekannt ist werden diese Lücken noch nicht aktiv genutzt. Allerdings sind alle vier Sicherheitslücken einfach auszunutzen. Zwei der Lücken sind Pre-Auth was bedeutet, dass keine Berechtigung am System notwendig sind um die Sicherheitslücken auszunutzen.
Durch die Hafnium Attacke dürften die Exchange Server auf der “dunklen Seite” gut inventarisiert sein, so dass eine Ausnutzung der Sicherheitslücken – zeitlich gesehen – eher eine Frage von Stunden als von Tagen ist.
Zu beachten gilt, dass auch diese Updates wieder über einen Administrativen Prompt installiert werden müssen. Weitere Informationen dazu findet man auf der jeweiligen Update Download Seite.
Ergänzend hierzu bieten die Cloud Designer Ihnen ihre Unterstützung an:
Support – CloudDesign (cloud-design.de)
Link zum Artikel des BSI:
Neue Schwachstellen in Microsoft Exchange Server (bund.de)
*Common Vulnerability Scoring System (CVSS, deutsch: „Bewertungssystem für häufige Schwachstellen“), ist ein Industriestandard zur Bewertung des Schweregrades von möglichen oder tatsächlichen Sicherheitslücken in Computer -Systemen.