Kritische Schwachstelle gefährdet über 2000 Exchange-Server in der Schweiz
Microsoft warnt vor einer kritischen Schwachstelle in Exchange-Servern. Angreifer können sie ausnutzen und somit fremde Konten übernehmen und missbrauchen. Weltweit sind rund 97'000 Server angreifbar – mehr als 2000 davon in der Schweiz.
Administratoren von Microsoft-Exchange-Servern sollten diese möglichst rasch auf den neuesten Stand bringen und absichern. Grund ist eine neu bekannt gewordene kritische Schwachstelle, die von Angreifern bereits ausgenutzt wird. Die Schwachstelle mit der CVE-Nummer 2024-21410 ermöglicht sogenannte NTLM-Relay-Angriffe, wie Microsoft in einer Warnmitteilung schreibt. Bedrohungsakteure könnten "einen NTLM-Client wie Outlook mit einer Sicherheitsanfälligkeit vom Typ 'Offenlegen von NTLM-Anmeldeinformationen' angreifen", schreibt der Tech-Konzern. Mit diesen Informationen kann sich ein bösartiger Hacker dann im Namen des Opfers beim Server anmelden und beliebige Aktionen durchführen.
Wie "Bleeping Computer" unter Berufung auf Daten des Bedrohungs-Überwachungsdienstes Shadowserver schreibt, waren weltweit rund 97'000 Exchange-Server durch diese Schwachstelle angreifbar. Die am stärksten betroffenen Länder sind Deutschland, die USA, Grossbritannien, Frankreich, Österreich, Russland, Kanada und die Schweiz. Hierzulande gebe es demnach 2019 angreifbare Exchange-Server.
Das seit dem Patchday im Februar 2024 verfügbare "Exchange Server 2019 Cumulative Update 14" schliesst die Sicherheitslücke, indem es einen Schutzmechanismus namens "Extended Protection for Authentication" (EPA) aktiviert. Dieser war zuvor zwar verfügbar, musste jedoch manuell aktiviert werden. Auch für Exchange Server 2016 ist EPA verfügbar. Eingeführt wurde die Technologie mit einem Upgrade im August 2023. Allerdings müssen Administratoren EPA selber und mittels eines Skripts aktivieren.
Dass sich Exchange-Administratoren mitunter sehr viel Zeit nehmen beim Einspielen von Sicherheits-Patches zeigt das Beispiel der "ProxyNotShell"-Schwachstelle. Sie wurde erstmals im September 2022 entdeckt. Ein halbes Jahr danach waren in der Schweiz noch immer 600 Server angreifbar. Details dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Tech-Konsortium steckt 12,5 Millionen US-Dollar in Open-Source-Sicherheit
Der Funk von morgen, die KI-Pläne von heute und der Cyberangriff von gestern
UZH und Algorithmwatch untersuchen, was KI mit der Gesellschaft macht
Staatsarchiv Luzern macht Geschichte digital zugänglich
Warum risikobasierte Governance der Schlüssel zur digitalen Souveränität ist
Metanet verlagert Infrastruktur in Rechenzentren von Green
Büsi missachtet wiederholt internationales Recht
Fast 50 Prozent der Schweizer Smartphone-User nutzen ein iPhone
Betrüger nehmen Swissquote-Kundschaft ins Visier
