Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern

Tausende Microsoft Exchange Server verwundbar

Nr.20240326  | 26.03.2024  | DSMV  | datenschutz-mv.de

Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) befinden sich neben veralteten MS Exchange-Versionen (2010/2013) immer noch Server mit Versionen Exchange 2016 oder 2019 im Einsatz, die einen veralteten Patchstand aufweisen und damit verwundbar sind. Diese sollten dringend mit den verfügbaren Updates auf den aktuellsten Stand gebracht werden.

Am 13.02.2024 wurde zudem eine weitere kritische Schwachstelle in Exchange bekannt (CVE-2024-21410), die aktuell noch nicht durch einen Patch behoben werden kann.

Hier rät das BSI dringend zur Aktivierung der "Extended Protection for Authentication" (EP/EPA), um die Ausnutzung der Schwachstelle zu verhindern. Das Cumulative Update 14 für Exchange 2019 aktiviert die Extended Protection standardmäßig. Bei älteren Versionen muss das EP jedoch noch manuell aktiviert werden; dies erfordert Handeln. Mit den am 12.03.2024 veröffentlichten Sicherheitsupdates wurde zudem eine weitere RCE (Remote Code Execution)-Schwachstelle (CVE-2024-26198) behoben.

Zu beobachten ist auch, dass vorhandene Exchange-Server-Lücken mit Sicherheitslücken anderer Microsoft-Produkte kombiniert werden, wie zum Beispiel mit Microsoft Outlook. Wenn Kriminelle Zugangsdaten echter Personen erlangen, können sie diese nutzen, um sich am Exchange Server unter einer falschen Identität anzumelden und dort anschließend weitere Aktionen auszuführen (CVE-2024-21413). Auf diese Weise können Angreifende beispielsweise unter Ausnutzung der RCE-Sicherheitslücke ihre Rechte erhöhen und weitere Daten entwenden. Auch hier ist es wichtig, schnellstmöglich die verfügbaren Updates bzw. Sicherheitspatches einzuspielen.

Das BSI empfiehlt zudem, webbasierte Dienste des Exchange-Servers wie Outlook Web Access grundsätzlich nicht offen aus dem Internet erreichbar zu machen, sondern den Zugriff auf vertrauenswürdige Quell-IP-Adressen zu beschränken oder über ein VPN abzusichern.

Links:

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-214205-1032.pdf?__blob=publicationFile&v=2

https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2024/240326_Tausende_Exchange-Server_verwundbar.html

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-21413

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26198

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-21410

Zurück zur Übersicht