Köln, den 07. Mai 2024. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Warnung (Bedrohungsstufe orange) für Microsoft Exchange Server veröffentlicht. Tausende Exchange On-Premises Server in Deutschland weisen kritische Schwachstellen auf und sind demnach verwundbar.
Bereits 2021 hat das BSI mehrfach vor der aktiven Ausnutzung kritischer Schwachstellen in Exchange gewarnt. Doch drei Jahre später sind weiterhin 17.000 Exchange Server (37%) verwundbar, weil sie eine oder mehrere kritische Sicherheitslücken aufweisen. Damit bieten die Exchange Server Cyberkriminellen zu hohen Wahrscheinlichkeiten ein offenes Eingangstor, um Unternehmen zu schädigen. Laut BSI nutzen Cyberkriminelle diese Schwachstellen bereits aktiv zur Verbreitung von Schadsoftware, zu Cyberspionage oder für Ransomware-Angriffe aus.
Von den 17.000 betroffenen Servern sind laut BSI 12% der Server so veraltet, dass für sie keine Sicherheitsupdates mehr angeboten werden (Exchange 2010/2013). 25% aller Server werden zwar mit den aktuellen Versionen Exchange 2016 und 2019 betrieben, verfügen aber über einen veralteten Patch-Stand. Dadurch sind diese Server für CVE-2023-36439 und ggfs. weitere ältere kritische Schwachstellen verwundbar.
Ein zusätzliches Problem: Für weitere 48% kann keine eindeutige Aussage hinsichtlich der Verwundbarkeit für die kritische Schwachstelle CVE-2024-21410 getroffen werden, die im Februar von Microsoft bekanntgegeben wurde. Insgesamt können damit nur 12% der Exchange Server als wahrscheinlich sicher eingestuft werden.
