Wie das deutsche BSI in einer aktuellen Veröffentlichung (CSW #2021-197772-1632) mitteilt, wurden in der Nacht zum Mittwoch, den 3. März 2021, vier Schwachstellen in MS Exchange geschlossen, die in Kombination bereits für zielgerichtete Angriffe verwendet wurden und Tätern die Möglichkeit boten, Daten abzugreifen oder weitere Schadsoftware zu installieren.
Bei den Schwachstellen handelt es sich um:
- CVE-2021-26855 ist eine server-side request forgery (SSRF) Schwachstelle in Exchange, welche es einem Angreifer erlaubt, HTTP-Requests zu senden und sich am Exchange-Server zu authentifizieren.
- CVE-2021-26857 ist eine Schwachstelle im Unified Messaging Service. Dabei werden Nutzer-bestimmte Daten von einem Programm deserialisiert. Hierüber ist es möglich, beliebigen Programmcode als SYSTEM-Benutzer auf dem Exchange-Server auszuführen. Dies erfordert Administrator-Rechte oder die Ausnutzung einer entsprechenden weiteren Schwachstelle.
- CVE-2021-26858 und CVE-2021-27065 sind Schwachstellen, mit denen – nach Authentifizierung – beliebige Dateien auf dem Exchange-Server geschrieben werden können. Die Authentifizierung kann z.B. über CVE-2021-26855 oder abgeflossene Administrator-Zugangsdaten erfolgen.
Wie das Computer Emergency Response Team Austria berichtet, sind nach wie vor 1074 aktive MS Exchange Server ungepatcht und stellen damit immer noch ein erhebliches Sicherheitsrisiko dar (https://cert.at/de/aktuelles/2021/3/aktuelle-zahlen-zu-den-exchange-schwachstellen-in-osterreich).
Auch das deutsche BSI sieht die IT-Bedrohungslage extrem kritisch, da weltweit über hunderttausend Exchange Server bereits kompromittiert sind. Alleine in Deutschland sind zehntausende Systeme betroffen – unter anderem mindestens sechs Bundesbehörden – Tendenz steigend. Besonders verwundbar sind laut BSI aktuell mindestens 26.000 Exchange Server in Deutschland, die direkt aus dem Internet erreichbar sind. Bei diesen „sollte von einer Kompromittierung ausgegangen werden“. Genutzt werden die Sicherheitslücken unter anderem zur Verschlüsselung von Daten auf dem betroffenen Server zum Zwecke der Erpressung, andererseits als Bot-Netz-Teilnehmer mit unzähligen Möglichkeiten und Nachwirkungen.
Im Rahmen dieser Erkenntnisse wurde die Sicherheit von grammm auditiert und klargestellt, dass grammm nicht von diesen Sicherheitslücken betroffen ist und zu keiner Zeit je war. Die tiefe Verzahnung von MS Exchange in das Windows-API-Sub- und Prozesssystem hat nach Überzeugung von grammm diese folgenschweren Auswirkungen zur Folge gehabt.
grammm stellt dessen Dienste und Schnittstellen standardmäßig immer unter Verwendung von nicht-System-privilegierten (unprivilegierten) Benutzern zur Verfügung. Das bietet neben den klassischen Linux-Bordmitteln zur Sicherheitsarchitektur eine zusätzliche Barriere zur Abwehr vor so tiefgehenden Betriebssystemübernahmen.
grammm bietet damit eine sicherere Alternative zu MS Exchange, egal ob On-Premise oder bei einem unserer Hosting-Partner.
Nehmen Sie Kontakt mit uns auf.
grommunio testen
Starten Sie mit einem Online Demo oder installieren Sie die grommunio Testversion auf ihrem eigenen Server.