Pandorex
Security

CVE-2026-21345 & CVE-2026-21892: Kritische Schwachstellen in Microsoft Exchange und Fortinet FortiOS So reagiert ein professionelles Security-Team

·Pandorex Redaktion·9 min Lesezeit
1150

Seit dem 28. März 2026 sind zwei kritische Schwachstellen öffentlich bekannt, die in Kombination eine erhebliche Bedrohungslage für Unternehmen darstellen. Beide CVEs werden aktiv ausgenutzt und stehen seit dem 29. März auf der CISA Known Exploited Vulnerabilities (KEV) Liste. Dieser Artikel dokumentiert das Lagebild, den Detection-Prozess und die professionelle Incident-Response.

1. Lagebild

CVE-2026-21345 Remote Code Execution in Microsoft Exchange Server

Betroffene Systeme: Microsoft Exchange Server 2019 CU14
CVSS Score: 9.8 (Critical)
Angriffsvektor: Unauthenticated Remote Code Execution via manipuliertes MAPI-over-HTTP-Request
PoC Status: Proof-of-Concept seit 28.03.2026 öffentlich verfügbar

Die Schwachstelle erlaubt es einem Angreifer, ohne jegliche Authentifizierung beliebigen Code auf dem Exchange Server auszuführen. Der Exploit nutzt eine fehlerhafte Deserialisierung im MAPI-over-HTTP-Protokoll aus. Ein speziell präparierter POST-Request an den /mapi/emsmdb/-Endpoint genügt, um SYSTEM-Rechte auf dem Server zu erlangen.

CVE-2026-21892 Authentication Bypass in Fortinet FortiOS SSL-VPN

Betroffene Systeme: Fortinet FortiOS 7.4.x mit aktiviertem SSL-VPN Web-Mode
CVSS Score: 9.1 (Critical)
Angriffsvektor: Authentication Bypass unauthentifizierter Zugriff auf VPN-Tunnel

Bei aktiviertem Web-Mode des SSL-VPN können Angreifer die Authentifizierung vollständig umgehen und einen VPN-Tunnel aufbauen. Dies ermöglicht direkten Zugriff auf das interne Netzwerk ohne gültige Credentials. Die Schwachstelle wird bereits von mehreren APT-Gruppen aktiv ausgenutzt.

Beide Schwachstellen sind seit dem 29.03.2026 auf der CISA KEV-Liste. Organisationen sind verpflichtet, innerhalb definierter Fristen zu patchen.

2. Detection & Meldung (SecMon)

Die Erkennung erfolgte über zwei parallele Kanäle des Security Monitoring:

Exchange-Schwachstelle (Microsoft Sentinel)

  • Anomale MAPI-Requests mit ungewöhnlichen Content-Type-Headern detektiert
  • Korrelation mit bekannten IoC-Patterns aus dem initialen Advisory
  • Erhöhtes Volumen von POST-Requests an /mapi/emsmdb/ von externen IPs

FortiOS-Schwachstelle (FortiAnalyzer)

  • Unerwartete Session-Establishments ohne vorherige Authentifizierung
  • SSL-VPN-Logins von bekannten TOR-Exit-Nodes
  • Session-Anomalien: VPN-Tunnel ohne korrespondierende Auth-Events

Alarm-Kette

Die standardisierte Eskalation folgte dem definierten Playbook:

  1. SIEM Alert → Automatische Ticket-Erstellung
  2. SOC L1 Triage → Initiale Bewertung, Priorisierung als Critical
  3. L2 Analyse → Bestätigung der Exploitation, Scope-Assessment
  4. Incident Declaration → Aktivierung des Incident-Response-Prozesses

Indicators of Compromise (IoC)

  • Spezifische User-Agent-Strings in MAPI-Requests
  • POST-Requests an /mapi/emsmdb/ mit manipulierten Headern
  • SSL-VPN-Logins von TOR-Exit-Nodes ohne vorherige Authentifizierung
  • Ungewöhnliche Prozesse auf Exchange-Servern (w3wp.exe → cmd.exe Ketten)

MITRE ATT&CK Mapping

  • T1190 Exploit Public-Facing Application
  • T1133 External Remote Services
  • T1059 Command and Scripting Interpreter (Post-Exploitation)

3. Patch-Management-Prozess

Microsoft Patch: KB5036922 (Out-of-band Release, 29.03.2026)
Fortinet Patch: FortiOS 7.4.5 (Released 28.03.2026)

Rollout-Strategie (Zeitachse)

ZeitfensterMaßnahme
Stunde 0–2Impact Assessment, betroffene Systeme via CMDB-Query identifizieren
Stunde 2–4Patch in Staging-Umgebung testen, Funktions- und Regressionstest
Stunde 4–8Emergency Change Request erstellen, CAB-Freigabe einholen
Stunde 8–12Rollout auf Produktionssysteme (Internet-exposed zuerst)
Stunde 12–24Verification, Post-Patch-Scans, Funktionstest

Interim-Mitigation (vor Patch-Verfügbarkeit)

  • Exchange: WAF-Regel für MAPI-Endpoint blockiert verdächtige Content-Type-Header und oversized POST-Requests an /mapi/emsmdb/
  • FortiOS: SSL-VPN Web-Mode temporär deaktivieren, ausschließlich Tunnel-Mode mit Client-Zertifikat zulassen

4. Kundenkommunikation

Die strukturierte Kommunikation folgt einem festen Zeitplan:

  • Stunde 0: Interne Einschätzung Severity: Critical, alle relevanten Teams informiert
  • Stunde 1: Erste Kundenbenachrichtigung per verschlüsselter E-Mail "Security Advisory: Kritische Schwachstelle identifiziert, Maßnahmen eingeleitet"
  • Stunde 4: Status-Update mit konkretem Patch-Zeitplan und Interim-Maßnahmen
  • Stunde 12: Bestätigung: Patch-Rollout gestartet, erste Systeme gepatcht
  • Stunde 24: Abschlussbericht betroffene Systeme, durchgeführte Maßnahmen, Verifikation, Empfehlungen

Kommunikationskanäle: Verschlüsselte E-Mail (Standard), Kundenportal (Status-Dashboard), bei Critical-Incidents zusätzlich telefonische Benachrichtigung.

5. Report-Erstellung

Der Post-Incident-Report folgt dem NIST SP 800-61r2 Framework und enthält:

  • Executive Summary Management-taugliche Zusammenfassung für die Geschäftsleitung
  • Technical Details Detaillierte technische Analyse für die IT-Abteilung
  • Timeline Minute-by-Minute-Dokumentation des gesamten Incidents
  • Affected Systems Vollständige Inventarliste betroffener Systeme
  • Actions Taken Alle durchgeführten Maßnahmen (Patch, Mitigation, Monitoring-Anpassungen)
  • Lessons Learned Was lief gut, was kann verbessert werden
  • Recommendations Konkrete Handlungsempfehlungen

KPI-Tracking

Die Performance der Incident Response wird anhand definierter KPIs gemessen:

  • Mean Time to Detect (MTTD): 23 Minuten
  • Mean Time to Respond (MTTR): 45 Minuten
  • Mean Time to Patch (MTTP): 8 Stunden (Exchange), 6 Stunden (FortiOS)

6. Einordnung

Bei der Nemonicon GmbH gehört dieser Prozess zum Tagesgeschäft. Als Managed Security Provider mit SecMon, MDR und strukturiertem Patch-Management reagiert das Team nach definierten Playbooks von der Erkennung über die Kundenkommunikation bis zum sauberen Abschlussbericht. Schweizer Qualität bedeutet hier: kein Patch ohne Test, kein Incident ohne Report, kein Kunde ohne Information.

Die Kombination aus automatisierter Detection, strukturierten Prozessen und transparenter Kommunikation zeigt, wie professionelle Incident Response in der Praxis funktioniert. In einer Zeit, in der kritische Schwachstellen immer schneller ausgenutzt werden, ist ein eingespieltes Team mit klaren Playbooks kein Luxus sondern Pflicht.

Kommentare

, um einen Kommentar zu schreiben.

Nach oben swipen
Nächster Artikel

Ransomware im DACH-Raum Q1 2026: Neue Akteure, alte Schwachstellen und was Unternehmen jetzt tun müssen

Security

Weitere Artikel

Security

Trump will CISA-Budget um 707 Millionen Dollar kürzen – Cybersicherheit der USA in Gefahr

Der neue Haushaltsentwurf für 2027 sieht massive Einschnitte bei der US-Cybersicherheitsbehörde CISA vor. Ehemalige Beamte warnen: Das erhöht das Risiko für vermeidbare Cyberangriffe auf kritische Infrastruktur.

KI & Chips

Netflix veröffentlicht VOID: KI-Modell entfernt Objekte aus Videos und simuliert physikalisch korrekte Szenen

Netflix Research stellt VOID vor – ein Vision-Language-Modell, das Objekte aus Videos löscht und die verbleibende Szene physikalisch plausibel rekonstruiert. Das Open-Source-Tool übertrifft bestehende Alternativen deutlich.

Cloud & Infra

Microsoft investiert 10 Milliarden Dollar in Japans KI-Infrastruktur und Cyberabwehr

Microsoft kündigt ein 10-Milliarden-Dollar-Investment in Japan an – für KI-Rechenzentren und Cybersecurity-Kooperation mit der Regierung. Ein Signal, dass KI-Infrastruktur zur Frage nationaler Sicherheit wird.