Microsoft warnt vor einer Zero-Day-Sicherheitslücke in Exchange, die bereits in freier Wildbahn attackiert wird. Aktualisierte Software ist noch nicht verfügbar. Microsoft bietet jedoch Gegenmaßnahmen an, die Admins so schnell wie möglich umsetzen sollten.

In der Schwachstellenbeschreibung erklärt Microsoft, dass es sich um unzureichende Filterung von Eingaben bei der Generierung von Webseiten handelt, eine Cross-Site-Scripting-Lücke. Dadurch können nicht authentifizierte Angreifer aus dem Netz Spoofing-Angriffe ausführen (CVE-2026-42897, CVSS 8.1, Risiko „hoch“). Den Schweregrad stuft Microsoft jedoch als „kritisch“ ein. Ein Blog-Beitrag von Microsofts Exchange-Team erklärt das sowie die Gegenmaßnahmen etwas ausführlicher.

Angriffsszenario

Die Schwachstelle betrifft im Speziellen offenbar Outlook Web Access (OWA). Microsoft führt aus, dass Angreifer manipulierte E-Mails an Opfer senden können. Wenn Nutzerinnen oder Nutzer die E-Mail in OWA öffnen und bestimmte, nicht näher erläuterte Interaktionsbedingungen erfüllt sind, wird dann beliebiges JavaScript im Browser ausgeführt.

Betroffen sind Exchange Server 2016, 2019 sowie Exchange Server Subscription Edition (SE) jeweils in jedwedem Update-Level. Microsoft stellt jedoch keine Software-Updates zur Verfügung. Jedoch steht ein automatischer Fix über den Exchange Emergency Mitigation (EM) Service zur Verfügung. Wo der Dienst aktiv ist, hat Microsoft die Gegenmaßnahmen bereits angewendet. Der Dienst wird seit September 2021 verteilt und standardmäßig aktiviert. Im Blog-Beitrag zeigt Microsoft zudem eine manuelle Variante.

Die Gegenmaßnahmen zum Eindämmen der Schwachstelle CVE-2026-42897 haben einige Nebenwirkungen, die Admins kennen sollten. Das Drucken von Kalendern in OWA könnte nicht mehr funktionieren. Inline-Bilder werden im Empfänger-Panel nicht mehr korrekt angezeigt. OWA Light könnte nicht mehr ordnungsgemäß funktionieren – das ist jedoch ohnehin Alteisen und „Deprecated“. Die Gegenmaßnahme zeigt zudem in den Mitigation-Details, dass sie für die vorliegende Exchange-Version ungültig sei – rein kosmetisch, versichern die Redmonder. Sofern „Applied“ als Status angezeigt wird, ist sie wirksam angewendet worden.

Das Exchange-Team arbeitet derweil an einem permanenten, ordentlichen Fix. Der soll künftig als Update für Exchange SE RTM, Exchange 2016 CU23 sowie Exchange Server 2019 CU14 und CU15 erscheinen. Wer Exchange 2016 oder 2019 einsetzt, muss dafür jedoch die zweite Stufe der erweiterten Sicherheitsupdates (ESU) abonniert haben. Weitere Details zum Emergency-Mitigation-Service liefert Microsoft auf einer eigenen Webseite.

(dmk)

Es ist die vierte Sicherheitslücke innerhalb weniger Tage, die Linux-Nutzern eine Ausweitung ihrer Privilegien ermöglicht: Ein Sicherheitsforscher mit dem Spitznamen _SiCK veröffentlichte auf Github mehrere Beispiele, die eine Lücke in der Speicherverwaltung des Linux-Kernels ausnutzen, um eine Wettlaufsituation (Race Condition) zu gewinnen.

Das Beispiel (Proof of Concept – PoC) mit den wohl stärksten Auswirkungen ist ssh-keysign-pwn, das den SSH-Private-Key der Maschine ausliest. Dieser ist unter normalen Umständen nur für den Root-Nutzer lesbar. Weitere PoC-Exploits existieren für „chage“, das während seiner Ausführung die Passwortdatei /etc/shadow liest – und sind prinzipiell für jede andere ausführbare Datei denkbar, die mit Rootrechten läuft (setuid root).

Die Sicherheitslücke versteckt sich tief im Speicher- und Prozessmanagement des Linux-Kernels. Die Funktion ptrace_may_access() schlägt bei Prozessen, die gerade beendet werden, auf eine zu offene Art fehl (fail open). Gewinnt der Exploit eine Race Condition, kann er trotz fehlender Berechtigungen Dateien lesen, die von dem sterbenden Prozess zuvor geöffnet worden waren, also etwa /etc/shadow bzw. /etc/ssh/ssh_host_key.

Gefunden hatte den Fehler das Sicherheitsunternehmen Qualys, behoben wurde er von Linux-Verwalter Torvalds am späten Donnerstagnachmittag. Nur wenig später wurde grsecurity-Gründer Brad Spengler auf den Fehler aufmerksam, widmete ihm eine Kurzanalyse im sozialen Netzwerk X und weckte damit den Ehrgeiz des Sicherheitsforschers _SiCK. Eine CVE-Kennung hat die Sicherheitslücke bislang nicht.

Bereits vor mehreren Jahren war der Fehler dem Google-Sicherheitsexperten Jann Horn ausgefallen, der damals einen Vorschlag zur Behebung gemacht hatte. Umgesetzt wurde er jedoch nicht.

Großer Knopf für Kernelreleases

Der Kernelverwalter Greg Kroah-Hartman schrieb derweil im Fediverse, er habe seine Ausrüstung verbessert. Er habe nun einen „großen Knopf“ auf dem Schreibtisch, um die Veröffentlichung einer neuen Kernelversion auszulösen. Der Knopf wäre ihm gelegen gekommen, um die heutigen Kernel-Releases zu starten, fährt Hartman leicht selbstironisch fort. Tatsächlich enthält der Linux-Kernel 7.0.8 ausschließlich die Fehlerbehebung für die durch ssh-keysign-pwn ausgenutzte Sicherheitslücke.

Die großen und kleineren Linux-Distributionen werden den Fehler nun in neuen Kernelpaketen verpacken und ausliefern müssen, was erfahrungsgemäß eine Weile dauern kann. Bis dahin können Systemverwalter mittels des Kommandos „echo 3 > /proc/sys/kernel/yama/ptrace_scope“ zumindest für alle bisher bekannten Fälle der Sicherheitslücke Abhilfe schaffen.

(cku)

Werden Elektroautos an öffentlichen Ladestellen geladen, kommt zur Strom- auch eine Datenverbindung. Diese kann Einfallstor für Angriffe auf die Ladestation, das Stromverteilnetz oder dessen Steuersysteme, aber auch das angeschlossene E-Auto sein. Daher hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die IT-Sicherheit öffentlich zugänglicher Ladenetze untersucht. Ergebnis: Zentrale Normen, darunter UNECE R 155, entsprechen in vielen Bereichen dem Stand der Technik, aber Entwarnung löst das nicht aus.

Zu möglichen Angriffspunkten an den annähernd 150.000 Normal- und 50.000 Schnellladesäulen in Deutschland zählt beispielsweise ein Bug im Open Charge Point Protocol 2025. Das weit verbreitete Protokoll gilt hinsichtlich Authentifizierung und Session Handling als anfällig und ist uneinheitlich implementiert. „In der praktischen Umsetzung werden jedoch zahlreiche Sicherheitsmechanismen – etwa Transportverschlüsselung, Sperrlisten oder moderne kryptographische Verfahren – häufig nur eingeschränkt oder optional implementiert, teilweise aus Gründen der Abwärtskompatibilität“, heißt es deshalb in dem 65 Seiten starken BSI-Bericht. Die Maßnahmen seien nur „gering verbreitet“, weiterhin würden proprietäre Protokolle verwendet. Es gebe daher den „Bedarf eines grundlegenden Paradigmenwechsels hin zu verpflichtendem Security-by-Design und Security-by-Default.“ Und das nicht erst seit kurzem.

Laut den BSI-Fachleuten ist bislang lediglich ein Ausschnitt des Problems genauer untersucht. „Deutliche Schwachstellen“ gebe es etwa in den Systemen der Ladestationenbetreiber. Und die zentrale Verwaltung der Zertifikate für die Kommunikation und Identifikation der Beteiligten im Ladesystem sei problematisch. „Kompromittierungen einzelner Vertrauensanker können weitreichende Folgen für die gesamte Ladeinfrastruktur und deren Vertrauenswürdigkeit haben“, schreibt die Behörde.

Netzstabilität im schlimmsten Fall gefährdet

Wenn aber Teile des Systems kompromittiert werden und etwa die Ladekommunikation gestört wird, kann das physikalische Folgen haben – am E-Auto, an der Ladestation, oder sogar im Stromnetz. „Ob und in welchem Umfang Schäden wie Bauteilschädigungen oder thermische Überlast auftreten können, hängt dabei wesentlich davon ab, ob die entsprechenden Komponenten eigensicher konzipiert sind und sich selbst gegen Überspannungen oder zu hohe Stromflüsse absichern“, beschreiben die IT-Sicherheitsfachleute das Problem. Sprich: ob sie sich bei Fehlsteuerung notabschalten.

„Falls zeitgleich mehrere oder weitreichende Verbindungen von Angriffen betroffen sind, kann dies im schlimmsten Fall die Netzstabilität gefährden.“ Etwa, wenn das lokale Netz eines Ladehubs gezielt angegriffen würde. Schon lange ist bekannt, dass Botnetze durch koordinierte Beeinflussung des Stromverbrauches Teile des kontinentaleuropäische Stromnetz zusammenbrechen lassen könnten.

Bidirektionalität verstärkt das Problem

Und das Problem wird größer, warnt das BSI: „Durch die Einführung von bidirektionalem Laden wird der Effekt um ein Vielfaches verstärkt.“ Solange das Laden nur unidirektional zum Auto ablief, war das zumindest für die Stromnetze kein direktes Problem. Doch mit skalierender, gezielter oder fehlgeleiteter Einspeise- und Ausspeisesteuerung wächst das Problem.

Der Verband der Automobilhersteller (VDA) ist sich dessen bewusst: „Durch Plug & Charge und das bidirektionale Laden entstehen neue Anforderungen an sichere Kommunikation, Authentifizierung und Zertifikatsmanagement.“ Jedoch sei IT-Sicherheit bei den Automobilherstellern „konsequent in Entwicklungs- und Produktionsprozesse integriert“, sagte ein Sprecher zu heise online. Entscheidend sei, Sicherheitsstandards interoperabel und entlang der gesamten Wertschöpfungskette umzusetzen. Sprich: Das Problem wird gesehen – aber nicht bei den Autoherstellern.

BDEW-Chefin sieht keinen „Grund für Alarmismus“

Die Strombranche sieht ebenfalls Risiken, aber „keinen Grund für Alarmismus (…) Es hat im Lademarkt nach unserem Kenntnisstand bisher keine gravierenden Sicherheitsvorfälle gegeben, die gegenüber dem BSI meldepflichtig sind“, sagt Kerstin Andreae vom Bundesverband der Energie- und Wasserwirtschaft (BDEW) auf Anfrage heise onlines.

Sie plädiert für klarere Regelungen. Denn durch die unterschiedlichen Eigenschaften von Autos als Produkt mit digitalen Elementen, Ladesäulen als Teil der Energienetze und Autoakkuverbünden als virtuelle Kraftwerke und somit potenzieller Teil Kritischer Infrastruktur greifen ganz unterschiedliche Vorschriften parallel, wie auch das BSI beschreibt. „Für den Hochlauf des Massenmarktes stellt sich daher die Frage, welche nachhaltig tragfähigen, pragmatischen Lösungsansätze im europäischen Binnenmarkt verfolgt werden können“, meint Kerstin Andreae. Sie fordert bessere Abstimmung über die einzelnen Vorschriften hinweg, ohne Sonderwege und Doppelregulierung.

Wären alle Ladesäulen ferngesteuert, kämen 8,5 Gigawatt steuerbare Leistung zusammen – ein Viertel mehr Leistung als vor einem Jahr. Das Bundesverkehrsministerium, das den „Masterplan Ladesäuleninfrastruktur 2030“ verantwortet, hat dazu bislang keine Initiative gezeigt.

(ds)