Alle Versionen ab Microsoft Exchange Server 2013 sind von den Sicherheitslücken betroffen. Ob ältere Versionen des Microsoft Exchange Servers ebenfalls betroffen sind, kann aktuell nicht bestätigt werden – es ist jedoch davon auszugehen. Die Schwachstellen werden als kritisch eingestuft. Eine Bewertung durch die NIST steht noch aus.
Die neuen identifizierten Schwachstellen CVE-2021-33766, CVE-2021-34473 und CVE-2021-34523 wurden bereits mit dem Sicherheitsupdate im April 2021 behoben.
Für die anderen neuen identifizierten Schwachstellen CVE-2021-31196, CVE-2021-31206, CVE-2021-33768 und CVE-2021-34470 wurden am 13.07.2021 durch Microsoft Sicherheitsupdates zur Verfügung gestellt:
Version | CVE | Link |
Microsoft Exchange Server 2019 Cumulative Update 10 | CVE-2021-31196 CVE-2021-31206 CVE-2021-33768 | |
Microsoft Exchange Server 2019 Cumulative Update 10 | CVE-2021-34470 | |
Microsoft Exchange Server 2019 Cumulative Update 9 | CVE-2021-31196 CVE-2021-31206 CVE-2021-33768 | |
Microsoft Exchange Server 2019 Cumulative Update 9 | CVE-2021-33766 CVE-2021-34473 CVE-2021-34523 | |
Microsoft Exchange Server 2019 Cumulative Update 8 | CVE-2021-33766 CVE-2021-34473 CVE-2021-34523 | |
Microsoft Exchange Server 2016 Cumulative Update 21 | CVE-2021-31196 CVE-2021-31206 CVE-2021-33768 | |
Microsoft Exchange Server 2016 Cumulative Update 21 | CVE-2021-34470 | |
Microsoft Exchange Server 2016 Cumulative Update 20 | CVE-2021-31196 CVE-2021-31206 CVE-2021-33768 | |
Microsoft Exchange Server 2016 Cumulative Update 20 | CVE-2021-33766 CVE-2021-34473 CVE-2021-34523 | |
Microsoft Exchange Server 2016 Cumulative Update 19 | CVE-2021-33766 CVE-2021-34473 CVE-2021-34523 | |
Microsoft Exchange Server 2013 Cumulative Update 23 | CVE-2021-31196 CVE-2021-31206 CVE-2021-34470 | |
Microsoft Exchange Server 2013 Cumulative Update 23 | CVE-2021-33766 CVE-2021-34473 CVE-2021-34523 |
Es wird empfohlen, die Sicherheitsupdates zeitnah zu installieren. Ob die Schwachstellen im Zusammenhang mit der Hacker-Gruppierung Hafnium stehen, kann derzeit noch nicht beantwortet werden.
Wir unterstützen Sie bei der externen Überprüfung Ihrer Systeme. Wenden Sie sich dazu gerne an it-security@bechtle.com oder direkt an Ihren persönlichen Bechtle Ansprechpartner.