Digital
Microsoft

Microsoft schliesst weitere Lücken in E-Mail-Software Exchange

Hacker konnten unbemerkt in Exchange-Server eindringen.
Die Aktualisierungen betreffen auch Schwachstellen, die Microsoft bereits im März mit einem Update geschlossen hatte.Bild: Shutterstock / watson

Microsoft schliesst weitere Lücken in E-Mail-Software Exchange

14.04.2021, 05:4614.04.2021, 13:51
Mehr «Digital»

Der US-Konzern Microsoft muss erneut Sicherheitslücken in seiner E-Mail-Software Exchange Server mit einem Update stopfen. Der Software-Konzern veröffentlichte am Dienstag Aktualisierungen für Programm-Versionen aus den Jahren 2013, 2016 und 2019.

Die Aktualisierungen betreffen auch Schwachstellen, die Microsoft bereits im März mit einem Update geschlossen hatte. Der Hinweis auf zwei der vier neuen Probleme kam vom US-Geheimdienst NSA.

Man kenne zwar keine Schadprogramme, die die Lücken bereits ausnutzten, erklärte Microsoft. Dennoch empfahl der Konzern, die Updates sofort zu installieren.

Das Weisse Haus wies alle US-Regierungsbehörden an, ihre E-Mail-Server umgehend zu aktualisieren. Vize-Sicherheitsberaterin Anne Neuberger betonte, die US-Regierung habe Microsoft die Schwachstelle aufgrund ihrer Verantwortung gemeldet.

FBI entfernt Hintertüren

Die US-Bundespolizei FBI griff unterdessen zu einem aussergewöhnlichen Schritt, um Infektionen durch die im März bekanntgewordenen Lücken zu beheben. Mit Erlaubnis eines Richters aus Texas wurden Hintertüren auf «hunderten Computern» in den USA entfernt. Einige Betreiber von Exchange-Servern seien nicht in der Lage gewesen, die im Januar und Februar von Angreifern eingerichteten Hintertüren selbst zu löschen, teilte das US-Justizministerium zur Begründung mit.

Die Vorgehensweise sorgte für Kritik. Es sei eine «krasse Grenzüberschreitung», sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. «Es stellt ein grosses Problem dar, wenn der Staat wie hier ohne Wissen und ohne Beauftragung von Unternehmen in deren IT-Systeme eingreift.» In Deutschland sei so etwas im Zusammenhang mit dem Trojaner Emotet auch schon gemacht worden - «und es gibt dazu bisher keine Rechtsgrundlage».

Die amerikanische Vize-Sicherheitsberaterin Anne Neuberger betonte, die US-Regierung habe mit der Meldung der Schwachstelle an Microsoft verantwortungsvoll gehandelt. Geheimdienste suchen gezielt nach Sicherheitslücken, um sie etwa für Spionage zu nutzen. Im US-Regierungsapparat gibt es ein Verfahren, in dem abgewogen wird, ob eine Schwachstelle für die Allgemeinheit zu gefährlich werden könnte, wenn ein Geheimdienst sie für sich behält.

Die NSA ist für elektronische Spionage im Ausland zuständig. 2017 war eine von dem Geheimdienst entdeckte Sicherheitslücke von Hackern ausgenutzt wurden, um im grossen Stil Computer mit der Erpressungs-Software WannaCry zu infizieren. Solche Programme verschlüsseln die Festplatte und verlangen Geld für die Freigabe. Damals waren unter anderem britische Krankenhäuser und Anzeigetafeln der Deutschen Bahn von WannaCry betroffen. Die NSA geriet in die Kritik, weil sie die Sicherheitslücke nicht schliessen liess.

Zehntausende Server infiziert

Über die im März bekanntgewordenen Exchange-Schwachstellen wurden nach Schätzungen von IT-Sicherheitsexperten Zehntausende E-Mail-Server weltweit infiziert. Die Angreifer nutzten zum Teil aus, dass die Aktualisierungen manuell installiert werden müssen – und nicht alle Exchange-Kunden schnell reagierten.

Nach Einschätzung von Microsoft waren die ebenfalls vier Sicherheitslücken aus dem März-Update zunächst von chinesischen Hackern ausgenutzt worden. Später kamen diverse andere Angreifer dazu. Bei einer erfolgreichen Attacke über die Schwachstellen war es möglich, Daten aus dem E-Mail-System abzugreifen.

Betroffen von den Exchange-Schwachstellen sind nur Server, die etwa Unternehmen selbst betreiben. Die Online-Versionen der Exchange-Dienste waren bereits geschützt.

In dem grossen Paket von Sicherheitsupdates schloss Microsoft am Dienstag mehr als 100 Schwachstellen, unter anderem im Betriebssystem Windows, in seinem Webbrowser Edge und den Office-Büroprogrammen.

(awp/sda/dpa)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Sieben eindrückliche Hacker-Attacken
1 / 10
Sieben eindrückliche Hacker-Attacken
2014 wurden private Fotos – vor allem Nacktbilder – von über 100 Prominenten im Netz veröffentlicht, die von Apples Online-Speicher iCloud gestohlen wurden. Auch Jennifer Lawrence war davon betroffen.
quelle: jordan strauss/invision/ap/invision / jordan strauss
Auf Facebook teilenAuf X teilen
Russische Hacker beeinflussen politische Debatten
Video: srf
Das könnte dich auch noch interessieren:
5 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
5
Wir haben «TopSpin 2K25» angespielt – und finden es grosses Tennis!
Mehr als eine Dekade nach «TopSpin 4» haucht 2K dem Tennis-Klassiker neues Leben ein. Wenn der Publisher es nicht mit den Mikrotransaktionen übertreibt, erwartet uns eine exzellente Sport-Sim.

Im Jahr 2011 galt «TopSpin 4» als DIE Tennis-Simulation schlechthin. Nun kehrt der Sportspiel-Klassiker nach langer Abstinenz spielerisch verfeinert und technisch mächtig aufgekrempelt auf PC und Konsole zurück. Reicht das für den Grand Slam oder geht aufgrund der «Game as a Service»-Pläne schon der Aufschlag ins Netz? Im ersten Hands-on in «TopSpin 2K25» sind wir dieser und anderen Fragen für euch nachgegangen.

Zur Story