Erst kürzlich hatte das BSI Warnstufe rot geschaltet um vor schwerwiegenden Sicherheitslücken beim Microsoft Exchange Server zu warnen (die ZfK berichtete). Nun warnt die Behörde erneut, wenn auch nur in Warnstufe gelb. Selbst das gilt immer noch als eine kritische Sicherheitslücke.

Die Bonner Behörde empfiehlt daher dringend das Einspielen der von Microsoft bereitgestellten Sicherheitsupdates. Diese Sicherheitslücken sollen das Ausführen von beliebigem Programmcode auf einem betroffenen System ermöglichen. Im Unterschied zu den Sicherheitslücken, die die Hafnium-Gruppe genutzt hat, gibt es derzeit jedoch laut Microsoft keine Anzeichen dafür, dass die Lücken aktiv ausgenutzt werden, schreibt das auf IT-Sicherheit spezialisierte Unternehmen G-Data.

Microsoft wartet diesmal nicht ab

Damit unterscheiden sich diese beiden Lücken von dem, was Anfang März passiert war. Damals stellte sich heraus, dass die Lücken bereits seit längerem bei Microsoft bekannt waren. Man entschied sich jedoch dafür, die Lücken erst später zu schließen. Ein Plan, der schnell revidiert wurde, nachdem sich abzeichnete, dass weltweit zehntausende Exchange-Server angegriffen und gezielt auf die Schwachstellen gescannt wurden.

Laut Release Notes für die vorliegenden Patches kam die Warnung diesmal von der amerikanischen National Security Agency (NSA), dem Auslandsgeheimdienst der Vereinigten Staaten. Die Information floss über den bei Microsoft vorhandenen Vulnerability Disclosure-Prozess. „Ein zweites Mal Hafnium ist uns zwar diesmal augenscheinlich erspart geblieben. Dennoch ist klar: Geschwindigkeit macht beim Patchen den Unterschied zwischen einem sicheren und einem unsicheren Netzwerk“, sagt Tim Berghoff, Security Evangelist bei G DATA.

Schnelles Handeln gefragt

Bei den kritischen Lücken in Exchange handelt es sich laut dem Internetportal Golem um die Klasse der sogenannten Remote Code Execution (RCE). Sprich, Angreifer können beim Ausnutzen der Lücken beliebigen Code ausführen. Zwar sei Microsoft derzeit nicht bekannt, dass diese Lücken in Exchange bereits aktiv ausgenutzt werden. Der Hersteller warnt aber explizit davor, dass dies nun in Folge der Veröffentlichung geschehen könnte, heißt es weiter.

Bei zwei der RCE-Lücken sei keine Authentifizierung notwendig und als Angriffsvektor wird "Netzwerk" angegeben. Die Zero Day Initiative (ZDI) von Hersteller Trend Micro geht deshalb davon aus, dass sich diese Lücken möglicherweise zum Bauen eines Wurms eignen könnten. (sg)