SmarterMail-Lücke

Ransomware bei SmarterTools: Eigene Software war ungepatcht

Schadsoftware Malware
LinkedInRedditWhatsApp

Der Hersteller von IT-Management-Software wurde über eine ungepatchte Instanz seines E-Mail-Servers SmarterMail attackiert. Die Angreifer verschafften sich Zugang zu mehreren Systemen im Unternehmensnetzwerk.

SmarterTools ist Ende Januar Opfer eines Ransomware-Angriffs geworden. Wie das Unternehmen mitteilte, drang die Schadsoftware über eine nicht aktualisierte Installation der eigenen E-Mail-Server-Lösung SmarterMail in die Systeme ein. Betroffen waren das interne Büronetzwerk sowie ein Rechenzentrum, in dem unter anderem Testsysteme für die Qualitätssicherung und das Kundenportal liefen.

Anzeige

Laterale Bewegung im Netzwerk

Nach Angaben von Derek Curtis, Chief Customer Officer bei SmarterTools, nutzten die Angreifer eine virtuelle Maschine als Einstiegspunkt, die von einem Mitarbeiter eingerichtet worden war. “Leider war uns eine VM nicht bekannt, die von einem Mitarbeiter eingerichtet wurde und nicht aktualisiert wurde. Infolgedessen wurde dieser Mail-Server kompromittiert, was zum Einbruch führte”, erklärte Curtis. Von dort aus bewegten sie sich durch das Netzwerk und kompromittierten weitere Systeme. Insgesamt zwölf Windows-Server im Rechenzentrum wurden übernommen. Die Hauptwebsite, der Online-Shop und weitere Dienste blieben verschont, da sie in einer getrennten Infrastruktur betrieben werden.

Das Unternehmen reagierte mit der sofortigen Abschaltung aller Server an den betroffenen Standorten und kappte die Internetverbindungen. In der Folge wurden Windows-Systeme weitgehend aus der Umgebung entfernt, Active Directory deaktiviert und Passwörter zurückgesetzt.

Bekannte Sicherheitslücke als Schwachpunkt

Curtis identifizierte die Ransomware-Gruppe Warlock als Urheber des Angriffs. Die Gruppe ist seit Mitte 2025 aktiv und wird chinesischen Akteuren zugeschrieben. Als Angriffsvektor diente vermutlich die Schwachstelle CVE-2026-24423, eine kritische Sicherheitslücke mit einem CVSS-Wert von 9,3, die unauthentifizierte Remote Code Execution ermöglicht.

Anzeige

Die Lücke wurde gemeinsam mit zwei weiteren Schwachstellen Mitte Januar durch einen Patch geschlossen. Die US-Behörde CISA hatte kurz zuvor gewarnt, dass CVE-2026-24423 bereits aktiv für Ransomware-Angriffe ausgenutzt wird.

Anwender werden aufgefordert, zeitnah auf die aktuelle Version zu aktualisieren. Die betroffenen Sicherheitslücken wurden mit Build 9518 vom 15. Januar behoben, ein weiterer Build vom 22. Januar brachte zusätzliche Verbesserungen.


Lars

Becker

Stellvertretender Chefredakteur

IT Verlag GmbH

Anzeige
Schadsoftware Malware
10. Februar 2026
Ransomware bei SmarterTools: Eigene Software war ungepatcht
Nordkorea, Hacker, TA444
10. Februar 2026
Nordkoreas Cyber-Dreizack: Wie sich Labyrinth Chollima aufspaltete
Amazon
10. Februar 2026
Amazon arbeitet an Marktplatz für KI-Trainingsdaten
HomeKit Apple
10. Februar 2026
Apple stampft alte HomeKit-Architektur ein

Weitere Artikel

Amazon arbeitet an Marktplatz für KI-Trainingsdaten
Apple stampft alte HomeKit-Architektur ein
Jeder Fünfte über 70 hat bereits online gedatet
Windows 11: Microsoft streicht alte Druckertreiber ab 2026
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.