Alert: Schwere Sicherheitslücke in Microsoft Exchange Servern

Update: 23.08.2021

Trotz Patches: Tausende ungepatchter Server angegriffen

Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Samstag vermeldete, werden erneut tausende Exchange-Server angegriffen. Auch fünf Monate nach Veröffentlichung der Sicherheitslücke durch Microsoft sind nach wie vor viele Server angreifbar (CVE-2021–34473, CVE-2021–34523, CVE-2021–31207). Bislang noch nicht gepatchte Server sollten zudem auf wahrscheinlich bereits implementierte Backdoors untersucht werden.

Erstmeldung vom 3.3.2021

Wie am 3.3.2021 durch Microsoft veröffentlicht, existieren in Exchange-Servern 2010, 2013, 2016 und 2019 schwere Sicherheitslücken, die aktuell in großer Zahl durch Angreifer der sogenannten Hafnium-Gruppe ausgenutzt werden. Mittlerweile werden weitere Details und auch das Ausmaß der Lücken bekannt. Microsoft hat in der Nacht zum 3.3. Updates zur Verfügung gestellt, die eine künftige Kompromittierung verhindern, eine schon stattgefundene jedoch nicht beseitigen können.

Sicherheitsupdates stehen für die folgenden Versionen zur Verfügung [MIC2021c]:

  • Exchange Server 2010 (RU 31 für Service Pack 3, hierüber werden künftige Angriffe verhindert)
  • Exchange Server 2013 (CU 23)
  • Exchange Server 2016 (CU 19, CU 18)
  • Exchange Server 2019 (CU 8, CU 7)

Ein sehr hohes Risiko besteht für alle aus dem Internet erreichbaren Exchange-Server, die Outlook Web Access (OWA) nutzen. Betroffen sind möglicherweise auch Server, die ActiveSync, Unified Messaging (UM), Exchange Control Panel (ECP) VDir, Offline Address Book (OAB) VDir Services sowie weitere Dienste nutzen.

Es wird dringend empfohlen, die von Microsoft bereitgestellten Updates zeitnah zu installieren. Bei einer hohen Wahrscheinlichkeit der Kompromittierung sollten umgehend weitere Schritte entsprechend dem unternehmensinternen Incidenceplan eingeleitet werden. Insbesondere sind Protokoll- und Logdateien zu sichern und von Löschroutinen auszunehmen.

Wichtig zu wissen: Im Falle einer Kompromittierung haben Sie einen meldepflichtigen Vorfall nach Art. 33 DSGVO, ggf. auch nach Art. 34. Konsultieren Sie in einem solchen Fall neben Ihrem IT-Dienstleister oder Ihrer IT-Abteilung umgehend auch betrieblichen Datenschutzbeauftragten. Es gilt die 72-Stunden-Regel der DSGVO.


Diese Seite verwendet die Shariff-Lösung der Ct.
Ihre Daten werden erst dann an Dritte übertragen, wenn Sie auf den entsprechenden Button klicken.

Herzlichen Dank fürs Teilen und Bekanntmachen dieser Seite.