SmartTools hat dringende Patches für seinen SmartMail-Mail-Server veröffentlicht, nachdem mindestens zwei kritische Schwachstellen, die vorkorrigierte Versionen betreffen, bestätigt werden. Man erlaubt die Remote-Ausführung von Code ohne Authentifizierung, ein Fehler, dass in praktischen Bedingungen den Server mit schädlichen Anweisungen aus dem Internet belichtet; der andere erleichtert Angriffe im Zusammenhang mit NTLM-Authentifizierung mit Anrufen auf Netzwerkressourcen.
Der erste Fehler, identifiziert als CVE-2026-24423 und mit einem CVSS-Score von 9.3, es beeinflusst die ConnectToHub-Methode der Software. Laut dem öffentlichen Datensatz kann ein Angreifer den Dienst anführen, um eine Verbindung zu einem HTTP-Server herzustellen, der von dem Angreifer gesteuert wird, der einen Betriebssystembefehl liefert; wenn der anfällige Server ihn ausführt, kann der Angreifer beliebigen Code auf der betroffenen Maschine ausführen. Die offizielle Beschreibung ist verfügbar unter CVE.org.
Forscher verschiedener Organisationen identifizierten und berichteten Schwachstellen: Sina Kheirkhah und Piotr Bazydlo von watchTowr, Markus Wulftange von CODE WHITE GmbH und Cale Black von VulnCheck. Ihre Ergebnisse werden in den öffentlichen Forschungsnotizen und Sicherheitshinweisen von Drittanbietern, wie etwa in der Liste der Offenlegungen von CODE WEISS und die technische Mitteilung VulnCheck.
SmartTools hat die Korrektur für diese Schwachstelle in der Baujahr 9511, veröffentlicht am 15. Januar 2026. Es ist wichtig zu betonen, dass der Betrieb eines nicht authentifizierten CERs besonders gefährlich auf Mailservern ist, da diese Software oft sensible Daten behandelt und direkt mit internen Infrastrukturen verbunden werden kann, die, wenn sie beeinträchtigt werden, eine seitliche Bewegung innerhalb des Netzwerks ermöglichen.
Darüber hinaus korrigierte das Unternehmen eine weitere überwachte kritische Sicherheitslücke wie CVE-2026-23760(auch mit CVSS 9.3), die bereits bei tatsächlichen Angriffen beobachtet wurde. Abgesehen von diesen beiden wurde ein Schwereversagen geschlossen, CVE-2026-25067(CVSS 6.9), die kein CER ist, aber das Zusammentreffen von Anmeldeinformationen ermöglicht, indem schädliche Netzwerkrouten aus nicht authentifizierter Sicht aufgelöst werden.
Im Fall von CVE-2026-25067 dreht sich das Problem um die Vorschau des "Bildes des Tages" (Hintergrund -der-der-Tag). Die Anwendung dekodiert in base64 einen Eintrag, der von außen kommt und behandelt es als Systemroute ohne ausreichende Validierung. In Windows-Umgebungen ermöglicht dies, UNC-Routen zu angreifergesteuerten Geräten zu lösen, was zu ausgehenden SMB-Authentifizierungsversuchen führt. Dieses Verhalten kann genutzt werden, um NTLM-Authentifizierungsversuche zu erzwingen, Techniken wie NTLM-Relais oder das Zusammentreffen von Anmeldeinformationen zu erleichtern; VulnCheck dokumentierte diese Mechanik in seiner technischen Warnung: VulnCheck - Beratung.
Um die offiziellen Notizen von SmartTools anzuzeigen und die betroffenen und korrigierten Versionen zu bestätigen, hält das Unternehmen eine Aufzeichnung von Versionen und Patches, in denen die freigegebenen Gebäude detailliert aufgeführt sind: SmartTools - Release Notes. Es wird festgelegt, dass der Bau 9518, der am 22. Januar 2026 veröffentlicht wurde, zusätzliche Korrekturen im Zusammenhang mit dem Zusammenspiel von Strecken und anderen Sicherheitsanpassungen enthält.
Was können und sollten Manager jetzt tun? Wesentlich ist, die von SmartTools bereitgestellten Updates vorrangig anzuwenden: Die Aktualisierung der eingebauten Patches reduziert das Belichtungsfenster. Darüber hinaus sollten Ausgleichsmaßnahmen angewendet werden, während die Patches eingesetzt werden: den ausgehenden Verkehr in SMB-assoziierten Ports einschränken (z.B. Block-Egress auf 139 / 445 Ports), Firewall-Regeln überprüfen, um ausgehende HTTP-Verbindungen von Mailservern und Audit-Daten für ungewöhnliche Verbindungen zu minimieren oder wiederholte Versuche, auf entfernte Ressourcen zuzugreifen.
Es wird auch empfohlen, die Telemetrie und Server-Daten zu analysieren, um Anzeichen für ein vorheriges Engagement zu erkennen: Prozesse, die das System aufrufen, führen unerwartete Verbindungen zu unbekannten Servern oder SMB-Authentifizierungsmustern zu Maschinen außerhalb der Organisationssteuerung. Wenn es einen Verdacht auf Eindringen gibt, sollten die beteiligten Maschinen isoliert werden und auffallende Antwortverfahren folgen, um Umfang und milde Nebenbewegungen zu identifizieren.
Die Entstehung zweier kritischer Schwachstellen in kurzer Zeit und die Bestätigung der aktiven Ausbeutung für mindestens eine von ihnen erinnern sich daran, dass die Mail-Software ein attraktiver Vektor für Angreifer bleibt. Aktualisierung, Überwachung und Begrenzung unnötiger Kommunikationswege sind einfache, aber wirksame Maßnahmen, um Risiken zu reduzieren, bis alle Anlagen korrigiert werden.
Wenn Sie die technische Dokumentation und die ursprünglichen Mitteilungen konsultieren möchten, sind hier die Links genannt: die Haupt-CVE-Datensatz in CVE.org, die Bekanntmachung der Untersuchung in VulnCheck, die Liste der Offenlegungen von CODE WHITE in CODE WEISS, und die offiziellen Versionen Notizen von SmartTools in SmartTools.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...