BSI warnt: Kritische Schwachstellen in Microsofts Exchange-Server

Foto: Jaiz Anuar – shutterstock.com

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor massiven Sicherheitslücken in Microsofts Exchange-Servern. Mindestens 17.000 Instanzen in Deutschland seien durch eine oder mehrere kritische Schwachstellen verwundbar, hieß es in einer Mitteilung der Security-Behörde. Hinzu komme eine Dunkelziffer in vergleichbarer Größe an weiteren Exchange-Servern, die potenziell verwundbar seien.

Das BSI ruft die Betreiber der entsprechenden Instanzen dazu auf, aktuelle Exchange-Versionen einzusetzen, verfügbare Sicherheitsupdates einzuspielen und die betroffenen Systeme sicher zu konfigurieren. Weitere Informationen stellt das BSI in einer offiziell veröffentlichten Warnung zur Verfügung.

Gefahr vor allem für den Gesundheitsbereich

Cyberkriminelle sowie staatliche Akteure würden dem BSI zufolge mehrere dieser Schwachstellen bereits aktiv dazu ausnutzen, Schadsoftware zu verbreiten beziehungsweise Cyberspionage zu betreiben oder Ransomware-Angriffe auszuführen. Betroffen seien insbesondere Schulen und Hochschulen, Kliniken, Arztpraxen, Pflegedienste und andere medizinische Einrichtungen, Rechtsanwälte und Steuerberater, Kommunalverwaltungen sowie viele mittelständische Unternehmen.

Foto: Jan Waßmuth

“Dass es in Deutschland von einer derart relevanten Software zigtausende angreifbare Installationen gibt, darf nicht passieren”, sagte Claudia Plattner, Präsidentin des BSI. Unternehmen, Organisationen und Behörden gefährdeten ohne Not ihre IT-Systeme und damit ihre Wertschöpfung, ihre Dienstleistungen oder eigene und fremde Daten, die womöglich hochsensibel sind. “Cybersicherheit muss endlich hoch oben auf die Agenda”, forderte Plattner. “Es besteht dringender Handlungsbedarf!”

Keine Sicherheits-Updates für veraltete Exchange-Versionen

Rund 45.000 Microsoft-Exchange-Server in Deutschland seien dem BSI zufolge derzeit ohne Beschränkungen aus dem Internet erreichbar. Nach aktuellen Erkenntnissen der Behörde seien etwa zwölf Prozent davon so veraltet, dass für diese Systeme keine Sicherheits-Updates mehr angeboten würden. Rund ein Viertel aller Server liefen zwar mit aktuellen Versionen Exchange 2016 und 2019, jedoch sei ihr Patch-Status veraltet. In beiden Fällen seien die entsprechenden Server für mehrere kritische Schwachstellen anfällig.

Damit seien mindestens 37 Prozent aller offen aus dem Internet erreichbaren Microsoft-Exchange-Server verwundbar, zieht die Sicherheitsbehörde Bilanz. Für weitere 48 Prozent der Exchange-Server könne keine eindeutige Aussage hinsichtlich der Verwundbarkeit für die kritische Schwachstelle CVE-2024-21410 getroffen werden. Diese Systeme seien jedoch potenziell verwundbar, sofern die Betreiber nicht die seit August 2022 zur Verfügung stehende Extended Protection aktiviert oder andere Schutzmaßnahmen getroffen hätten.

Immer wieder Probleme mit Microsofts Exchange-Server:

• Zwei Zero-Day-Schwachstellen in Microsoft Exchange

• “SessionManager” infiltriert Microsoft Exchange

• Hacker missbraucht Microsoft Exchange Server für Phishing-Angriff

Inwieweit dies zutreffe, könnten nur die jeweiligen Betreiber beurteilen, mahnen die Security-Experten des BSI. Darüber hinaus gebe es eine weitere Schwachstelle in Microsoft Exchange, für die jüngst Sicherheitsupdates zur Verfügung gestellt wurden. Sollten diese Updates nicht eingespielt werden, erhöhe sich die Bedrohungslage weiter.