Betreiber von Exchange-Servern sollten aktuell unbedingt die Update-Mechanismen anwerfen. Microsoft liefert kurzfristig Patches gegen Zero Day-Schwachstellen aus, die bereits aktiv für Angriffe durch vermutlich staatliche Akteure genutzt werden.
Die fraglichen Attacken seien zwar nur in geringem Umfang und sehr gezielt gegen bestimmte Nutzer aufgetreten, doch kann sich dies schnell ändern. Betroffen sind hier die Produkte Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019. Nutzer von Exchange Online müssen hingegen nicht aktiv werden, da Microsoft die dahinterstehenden Installationen in seinen Cloud-Datenzentren ohnehin auf aktuellem Stand hält.
Insgesamt geht es bei der Sache um vier neue Sicherheitslücken, die unter den Kennungen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 in den einschlägigen Datenbanken vermerkt sind. Besonders viele Details gibt es zu den Schwachstellen noch nicht, da hier nicht noch weitere Angreifer auf eine günstige Fährte geführt werden sollen.
Komplette Postfächer in Gefahr
Einige Hinweise gibt es aber durchaus schon für die Schwachstelle CVE-2021-26855. Diese ermöglicht es Angreifern beispielsweise, die kompletten Inhalte aus den Postfächern verschiedener Nutzer zu stehlen. Auch aus der Entfernung lässt sich hier die Authentifizierung umgehen und bietet freien Zugang zu den Inhalten.
Die aktuell laufenden Angriffe, die durch Microsoft beobachtet wurden, stammen von einer Gruppe namens Hafnium. Bei dieser soll es sich um Angreifer handeln, die von China aus mit den Ressourcen einer staatlichen Organisation ausgestattet sind. Allerdings basiert dies in erster Linie auf Indizien wie die Analysen von Exploit-Codes und den Zielen der Attacken. Konkrete Beweise für den Ursprung bestimmter Taten bei verschiedenen Akteuren sind relativ schwer festzuhalten.
Anmelden
Betreiber von Exchange-Servern sollten aktuell unbedingt die Update-Mechanismen anwerfen. Microsoft liefert kurzfristig Patches gegen Zero Day-Schwachstellen aus, die bereits aktiv für Angriffe durch vermutlich staatliche Akteure genutzt werden.
Die fraglichen Attacken seien zwar nur in geringem Umfang und sehr gezielt gegen bestimmte Nutzer aufgetreten, doch kann sich dies schnell ändern. Betroffen sind hier die Produkte Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019. Nutzer von Exchange Online müssen hingegen nicht aktiv werden, da Microsoft die dahinterstehenden Installationen in seinen Cloud-Datenzentren ohnehin auf aktuellem Stand hält.