In den letzten Wochen haben wir wieder gesehen, wie kritische Schwachstellen in einer Angelegenheit von Tagen ein operatives Instrument für kriminelle Gruppen werden können. Forscher, die U-Bahn-Foren und Telegram-Kanäle überwachen, haben die schnelle Zirkulation von Konzepttests, Offensive Profite und gestohlene Administrator-Berechtigungen im Zusammenhang mit kürzlich enthüllten SmartMail-Fehlern dokumentiert, die E-Mail-Lösung verwendet auf Tausenden von Internet-belichteten Servern.
Die Beschleunigung zwischen öffentlicher Ausreise und aktiver Ausbeutung ist alarmierend: öffentliche Sicherheitslücken, veröffentlichte Patches und, in weniger als 72 Stunden, Code-Snippets und Zugang zu braindumps erscheinen in unterirdischen Ökosystemen, wo Angreifer koordinieren und verkaufen Intrusion Fähigkeiten. Der spezifische Fall umfasst zwei kritische Kennungen: CVE-2026-24423, eine Remote-Code-Ausführung, die keine Authentifizierung in Versionen vor dem Erstellen 9511 erfordert, und CVE-2026-23760, die Authentifizierungslogik beeinflusst und erlaubt, Steuerungen zu verzichten oder Verwaltungskennwörter neu zu starten.
Die technischen Auswirkungen dieser Kombination sind in der Praxis einfach zu verstehen und gefährlich. Ein nicht authentifizierter CERs-Ausfall erleichtert die Massenabtastung und den automatisierten Betrieb, was große Operationen begünstigt. Ein Fehler, der es erlaubt, Administrator-Anmeldeinformationen zurückzusetzen oder die Authentifizierung zu umgehen, öffnet die Tür, um einen privilegierten Zugriff auf andere angeschlossene Systeme zu erhalten. Gemeinsam können diese Schwächen einen exponierten Mailserver in ein Trampolin verwandeln, um die Steuerung des Betriebssystems zu übernehmen und in Umgebungen mit Active Directory versuchen, ganze Domänen zu kompromittieren.
Was die Gleichung schlimmer macht, ist der Wert, den die Angreifer der Mail-Infrastruktur geben. Ein Mailserver ist nicht nur ein Messaging-Service: er behandelt Domain-Token, Passwort-Restaurierung Prozesse, interne Kontaktgrafiken und oft Integration mit Identitätsdiensten. Aus diesem Umkreis ergibt sich ein Meisterschlüssel, um Seitenbewegungen und spätere Erpressung zu orchestrieren. Diese Realität spiegelt sich in bestimmten Ereignissen wider: SmartTools berichtete, dass es eine Intrusion im Januar 2026 erlitt, die einen unpatched SmartMail-Server nutzte, so dass der Angreifer interne Segmente von Active Directory erreichen und mehrere Windows-Server in seiner Umgebung beeinflussen konnte, obwohl das Unternehmen konnte die Auswirkungen durch die Segmentierung seines Netzwerks und seine Wiederherstellungsmaßnahmen enthalten. Ihr Bericht ist auf dem offiziellen SmartTools Portal verfügbar ( Zusammenfassung des Vorfalls)
Presse- und Sicherheitsuntersuchungen haben auch Holdings auf Basis dieser Schwachstellen zu Ransomware Kampagnen verknüpft. So haben z.B. spezialisierte Publikationen wie BleepingComputer Operationen dokumentiert, in denen die Betreiber Zugriff über SmartMail erhalten haben und eine Vorbereitungszeit vor dem Detonieren der schädlichen Last erwartet haben, ein typisches Verhalten, wenn die mit der ransomware- as- a-Service und den Affiliate, die die Post-Exploitation Phase ( technische Abdeckung und Fälle)
Es gab auch eine institutionelle Bestätigung: die US-Agentur für Infrastruktur und Cybersicherheit. Die Vereinigten Staaten (CISA) haben in ihrem Katalog aktiv genutzter Sicherheitslücken mindestens einen dieser Fehler aufgenommen, eine Geste, die oft von dringenden Minderungsempfehlungen für öffentliche und private Organisationen begleitet wird. Die Liste der Schwachstellen, die von Angreifern ausgenutzt werden, ist öffentlich auf der CISA-Website verfügbar ( Bekannte ausgeschöpfte Schwachstellen)
Von der Seite der Oberflächenanalyse haben Unternehmen, die das Internet scannen, wie Shodan und Geheimdienstanbieter Zehntausende von Servern mit SmartMail-Signalen auf ihren Bannern identifiziert; eine genauere Inspektion deutet darauf hin, dass eine signifikante Anzahl von Einrichtungen nach dem Ausweichen, mit signifikanten Konzentrationen in den Vereinigten Staaten und vielen selbst verwalteten Instanzen in VPS und geteilten Hosting blieben. Eine Untersuchung der unterirdischen Verkehrsüberwachung Spezialisten präsentierte, wie die Protagonisten des Forums Beweise für Konzept und Offensive-Pakete teilten und kam, um administrative Zugangslisten zu veröffentlichen, die angeblich von kompromittierten Servern erhalten wurden.
Was kann eine Organisation vor diesem Risikofenster tun, das so schnell schließt? Die erste und konkretere Sache ist die Anwendung von Updates: die betroffenen Versionen müssen auf die Ausgabe, die die Fehler festlegt (sofern erforderlich, um 9511 oder höher zu bauen), da die öffentliche Verfügbarkeit des Exploit-Codes jedem gefährdeten Server ein vorrangiges Ziel für die automatisierte Abtastung macht. Jenseits des Patches ist es angebracht, die Post als Teil der Identitätsinfrastruktur zu verstehen und nicht nur als Anwendungsdienst. Dies beinhaltet die Entwicklung von Netzwerksteuerungen, die verhindern, dass ein Mail-Server freien Zugriff auf den Rest des internen Netzwerks hat, die Anwendung von Telemetrie, die den Neustart des Passworts von Administratoren, unerwarteten API-Anfragen oder anomale ausgehende Verbindungen vom Mail-Service erkennt, und die Überprüfung des Fehlens von ausländischen geplanten oder binären Aufgaben, die Persistenz anzeigen.
In der Praxis verbindet die Antwort auf einen solchen Vorfall oft die Wiederherstellung von zuverlässigen Kopien, die Rotation von Anmeldeinformationen, die Revision von Einheiten mit Active Directory und die Beseitigung von detektierten seitlichen Bewegungswegen. Eine frühe Erkennung in dunklen Foren und Kanälen ist auch ein Vorteil: Das Wissen, dass eine Explosion oder eine Deponie von Anmeldeinformationen öffentlich verbreitet erlaubt, Blockaden und Antworten zu priorisieren. Für Infrastrukturbetreiber ist die Lektion klar: Post als kritisches Stück Identität zu behandeln und als Domain-Controller zu schützen.
Diese Episode ist keine Ausnahme, sondern eine Beschleunigung eines Trends: das Fenster zwischen der Veröffentlichung einer Sicherheitslücke und seiner Ausbeutung wurde drastisch reduziert. Die Aufrechterhaltung einer defensiven Haltung bedeutet die Automatisierung kritischer Patches, die Segmentierung und Überwachung hochwertiger Dienste und die Vorbereitung von Antwortverfahren, die Post als Ausgangspunkt für große Angriffe betrachten. Für diejenigen, die technische Details und veröffentlichte Analysen vertiefen möchten, umfassen die öffentlichen Quellen den SmartTools-Bericht und die Forschungsabdeckung in spezialisierten Medien, zusammen mit den oben genannten Regierung Cybersicherheit Ressourcen.
Wenn Sie Mailserver verwalten, ist die Dringlichkeit real: Aktualisierung, Überprüfung von Integrationen mit Identität und Überprüfung der Administrationstelemetrie ist nicht optional. Die Eingangstür ist nur für eine begrenzte Zeit geöffnet, bevor die Angreifer sie in einen Pfad zur Erpressung oder Massenerpressung verwandeln.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...