Lücke in Microsoft Exchange

Ein weiteres Addendum zu meinem Beitrag, warum man keinen eigenen Mailserver betreiben sollte.

On March 2, Microsoft released emergency security updates to plug four security holes in Exchange Server versions 2013 through 2019 that hackers were actively using to siphon email communications from Internet-facing systems running Exchange.

In the three days since then, security experts say the same Chinese cyber espionage group has dramatically stepped up attacks on any vulnerable, unpatched Exchange servers worldwide.

Krebs on Security

Es ist ernst. Die US-Regierung warnt. Das BSI in Deutschland warnt. CERT.at warnt. Und im Rapid7-Blog wird Österreich (neben den beiden Hauptzielen USA und Deutschland) in einer Grafik als eines der stark betroffenen Länder (neben Kanada, Großbritannien, den Niederlanden, Frankreich, Italien und der Schweiz, Russland und Australien) gezeigt.

John Gruber, dem selten ein positives Wort zu Microsoft Exchange einfällt:

Microsoft Windows and Exchange have always been insecure, and probably always will be. It’s amazing how many widely-publicized hacks you can ignore if you just never use Windows or use Exchange server software.

John Gruber, Daring Fireball

Österreich ist massiv von dieser Sicherheitslücke betroffen, berichtet auch die Futurezone. Vielleicht hat John Gruber doch recht? Wahrscheinlich objektiv nicht, aber subjektiv bin ich ganz bei ihm.