Microsoft warnt vor Zero-Day-Lücken in Exchange Server

Microsoft hat ein außerplanmäßiges Sicherheitsupdate für Exchange Server veröffentlicht. Es schließt vier zuvor unbekannte Zero-Day-Lücken, die nach Angaben des Unternehmens derzeit für zielgerichtete Hackerangriffe benutzt werden. Aufgrund des Schweregrads “kritisch” fordert das Unternehmen seine Kunden auf, die Updates schnellstmöglich einzuspielen. Betroffen sind Exchange Server 2013, 2015 und 2019, nicht aber Exchange Online.

Hinter den Angriffen soll eine Hackergruppe namens Hafnium stecken, die in Verdacht steht, von China aus zu operieren und dort staatliche Unterstützung zu erhalten. Die vier Schwachstellen nutzten die Angreifer, um auf E-Mail-Konten von Nutzern zuzugreifen. Laut einer Analyse des Sicherheitsanbieters Volexity sollen die Hacker die vollständigen Inhalte von E-Mail-Konten ausgespäht haben. Angriffe seien aus der Ferne und ohne Authentifizierung möglich. “Der Angreifer muss nur den Exchange Server kennen und das Konto, aus dem er die E-Mails extrahieren möchte”, teilte Volexity mit.

Die vier Anfälligkeiten mit den Kennungen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 erlauben jeweils das Einschleusen und Ausführen von Schadcode aus der Ferne. Der erste Bug macht Exchange Server Anfällig für Server-Side-Request-Forgery-Angriffe und erlaubte es den Angreifern, beliebige Anfragen ohne Authentifizierung an einen Exchange-Server zu senden. Der zweite Bug machte es möglich, Code mit Systemrechten auszuführen.

Die dritte und vierte Schwachstelle schließlich ermöglichte es jeweils, Dateien in beliebigen Ordnern des bereits gehackten Servers abzulegen. Auf den angegriffenen Servern richteten die Hacker letztlich eine Web Shell für den Fernzugriff und die Steuerung des Servers ein.

Microsoft geht davon aus, dass auch nach Veröffentlichung der Patches weitere Cyberkriminelle und Hacker versuchen werden, die Anfälligkeiten für ihre Zwecke einzusetzen. “Obwohl wir schnell daran gearbeitet haben, ein Update für die Hafnium-Exploits bereitzustellen, wissen wir, dass viele nationalstaatliche Akteure und kriminelle Gruppen schnell handeln werden, um alle ungepatchten Systeme auszunutzen. Die sofortige Anwendung der heutigen Patches ist der beste Schutz gegen diesen Angriff”, schreibt Tom Burt, Corporate Vice President für Customer Security & Trust, in einem Blogeintrag.

Wie Bleeping Computer berichtet, hat der Sicherheitsanbieter Eset bei der Auswertung von Telemetriedaten bereits Hinweise auf weitere Attacken gefunden. Demnach sollen drei weitere Hackergruppen, die ebenfalls aus China heraus agieren sollen, mindestens die Schwachstelle CVE-2021-26855 missbrauchen. Die Ziele befänden sich überwiegend in den USA, aber auch in Europa, Asien und dem Mittleren Osten. Die Hacker nähmen neben Behörden auch Anwaltskanzleien, Unternehmen und medizinische Einrichtungen ins Visier.