Derzeit haben es Angreifer auf SmarterMail-Instanzen abgesehen. Sind Attacken erfolgreich, erlangen sie als Admin die volle Kontrolle. Eine reparierte Version steht zum Download bereit.

Alle drei mittlerweile in SmarterMail 100.0.9511 geschlossenen Sicherheitslücken (CVE-2026-23760), CVE-2026-24423, CVE-2025-52691) sind mit dem Bedrohungsgrad „kritisch“ eingestuft. Alle vorigen Ausgaben sollen verwundbar sein. Der US-Sicherheitsbehörde CISA zufolge nutzen Angreifer die ersten beiden Schwachstellen bereits aus.

Ernste Gefahren

Im ersten Fall ist die Passwort-Reset-API löchrig und es kommt zu Fehlern beim Zurücksetzen von Systemadministratorkonten. Weil in diesem Kontext unzureichend geprüft wird, kommen anonyme Anfragen durch und Angreifer erstellen ohne Authentifizierung Admin-Konten. Im Anschluss können sie als Root auf den Host zugreifen, was einer vollständigen Kompromittierung gleichkommt.

Im zweiten Fall können Angreifer Verbindungen zu einem unter ihrer Kontrolle befindlichen HTTP-Server erzwingen und darüber Schadcode servieren. Die dritte Lücke ist mit dem maximalen CVSS Score 10 von 10 eingestuft. An dieser Stelle können entfernte Angreifer ohne Anmeldung Schadcode hochladen und ausführen.

In welchem Umfang die Attacken derzeit ablaufen, ist nicht bekannt. Unklar ist zum jetzigen Zeitpunkt auch, woran Admins bereits erfolgreich attackierte Instanzen erkennen können. In den Release Notes zu SmarterMail-Versionen finden sich nur äußerst knappe Hinweise auf die Sicherheitsprobleme.

Zumindest in einem Fall ist klar, dass Admins nach ihnen unbekannten Admin-Konten Ausschau halten und diese umgehend löschen müssen. Doch dann ist es wahrscheinlich schon zu spät, und Angreifer haben sich eine Hintertür eingerichtet. Dementsprechend müssen Admins Logdateien im Auge behalten und verdächtigen Netzwerkverkehr blockieren.

(des)

Stimmen die Voraussetzungen, sind unbefugte Zugriffe auf verschiedene Firebox-Modelle von WatchGuard möglich. Admins sollten das verfügbare Sicherheitsupdate zeitnah installieren. Bislang gibt es keine Berichte, dass Angreifer Geräte über diesen Weg attackieren.

Instanzen vor möglichen Attacken schützen

In einer Warnmeldung führen die Entwickler aus, dass die Schwachstelle (CVE-2026-1498 „hoch“) Firewalls mit den Fireware-OS-Ausgaben 12.x, 12.5.x (Modelle T15 und T35) und 2025.1 bedroht. Der Beschreibung der Lücke zufolge können entfernte Angreifer ohne Authentifizierung an der LDAP-Authentifizierung ansetzen und auf eigentlich nicht einsehbare Informationen zugreifen. Verfügt ein Angreifer über eine gültige Passphrase eines legitimen Nutzers, kann er im Kontext einer Attacke als dieser Nutzer auf Instanzen zugreifen. Die Entwickler geben an, die Versionen 12.5.16, 12.11.7 und 2026.1 repariert zu haben.

Ende vergangenen Jahres sorgten Schadcode-Attacken auf WatchGuard-Firewalls für Schlagzeilen.

(des)

In einem weiteren Blog-Posting verspricht Microsoft, das Sicherheitsproblem NTLM aus der Welt zu schaffen. „Mit der nächsten Version von Windows Server“ soll es dann so weit sein; wann die erscheint, ist jedoch nach wie vor ungewiss. Aktuell ist NTLM zwar deprecated, aber nach wie vor in vielen Windows-Systemen aktiv und Administratoren müssen die davon ausgehenden Gefahren managen.

Die Sünden der Vergangenheit

NTLM ist ein seit Jahrzehnten veraltetes Authentifizierungsverfahren, dessen Sicherheitsprobleme altbekannt sind und immer noch etwa von Ransomware-Banden ausgenutzt werden, um sich den Zugang zu Konten mit höheren Rechten zu verschaffen. Insbesondere abgefangene NTLMv1-Hashes lassen sich leicht knacken – etwa mit den von Google bereitgestellten Rainbow-Tabellen. Außerdem lassen sich NTLM-Hashes auch für Pass-The-Hash-Attacken nutzen.

Trotzdem zögert Microsoft, das veraltete Protokoll komplett abzuschalten. Zu viele Systeme nutzen das Verfahren noch. Etwa weil sie keine direkte Verbindung zu einem Domain Controller haben, der für eine Kerberos-Authentifizierung nötig wäre. Oder weil es sich um lokale Accounts handelt oder NTLM fest verdrahtet („hard coded“) ist, erklärt Microsoft. Doch in der zweiten Hälfte des Jahres 2026 will man diese kritischen Punkte der Migration weg von NTLM aus der Welt geschafft haben. IAKerb, lokale Key Distribution Center und Updates zentraler Windows-Komponenten sollen es bis dahin richten.

Das Ende naht

Und dann soll es endlich so weit sein. Mit der nächsten großen Windows-Server-Version und den zugehörigen Windows-Clients will man NTLM standardmäßig deaktivieren, heißt es jetzt bei Microsoft. Ganz aus der Welt ist es damit jedoch weiterhin nicht, beugt man übertriebenen Erwartungen der Security-Community vor. Der NTLM-Code wird immer noch Teil von Windows bleiben und Admins werden das unsichere Protokoll somit reaktivieren können. Wann man diesen letzten Schritt der Ausmusterung von NTLM vollziehen will, dazu lässt sich der Konzern nicht weiter aus.

Wer für die Sicherheit von Windows-Netzen verantwortlich ist, sollte nicht auf dieses ungewisse Ende warten, sondern vielmehr sofort Maßnahmen ergreifen, um die von NTLM ausgehenden Gefahren einzuhegen. Wie das sinnvoll geht, erklärt etwa das heise security Webinar zum Thema Sicherheitslücken in NTLM und Kerberos verstehen und schließen. Denn auch den designierten NTLM-Nachfolger Kerberos plagen Sicherheitsprobleme, die Angreifer etwa beim Kerberoasting gezielt ausnutzen.

(ju)