Microsoft hat im Rahmen des November-Patchdays auf ein Update für Exchange Server veröffentlicht. Die Schwachstelle mit der Kennung CVE-2021-42321 wird nach Angaben des Unternehmens bereits angegriffen – und Angriffe sind trotz einer aktivierten Anmeldung in zwei Schritte unter Umständen erfolgreich.
„Der Exchange-Bug CVE-2021-42321 ist eine Post-Authentifizierungs-Schwachstelle in Exchange 2016 und 2019. Unsere Empfehlung ist es, diese Updates sofort zu installieren, um Ihre Umgebung zu schützen“, schreibt Microsoft in einem Blogpost über die neuen Exchange-Bugs. „Diese Schwachstelle betrifft Microsoft Exchange Server vor Ort, einschließlich Servern, die von Kunden im Exchange Hybrid-Modus verwendet werden. Exchange Online-Kunden sind bereits geschützt und müssen keine Maßnahmen ergreifen.“
Microsoft bestätigte, dass die Zwei-Faktor-Authentifizierung (2FA) nicht unbedingt vor Angriffen schützt, die die neuen Exchange-Schwachstellen ausnutzen, insbesondere wenn ein Konto bereits kompromittiert wurde. „Wenn die Authentifizierung erfolgreich ist (2FA oder nicht), könnte CVE-2021-42321 ausgenutzt werden“, sagt Microsoft-Programmmanager Nino Bilic. „Aber in der Tat kann 2FA die Authentifizierung erschweren, so dass sie in dieser Hinsicht ‚helfen‘ kann. Aber nehmen wir an, es gibt ein Konto mit 2FA, das kompromittiert wurde – nun, in diesem Fall würde es keinen Unterschied machen“, fügt Bilic hinzu.
Microsoft empfiehlt, die vorhandenen Updates schnellstmöglich zu installieren.
Laut CAM-Studie sehen 40 Prozent der Autofahrer vernetzte Fahrzeuge mit Software-Updates als Bedrohung an.
Wahlen in mehr als 60 Ländern und rund 2 Milliarden potenziellen Wählern, ist ein gefundenes…
Sie verfallen spätestens nach einer Stunde. Firefox 131 enthält zudem Fixes für 13 Anfälligkeiten, die…
Mobile Malware-Kampagne richtet sich gezielt gegen Banking-Apps.
Betroffen ist das Update KB5043145 für Windows 11 23H2 und 22H2. Es löst unter Umständen…
Sie erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten. Microsoft stuft die Anfälligkeit bisher nicht als…