SmarterMail: Kritische Lücke öffnet Tausende E-Mail-Server für Angreifer

Eine schwere Sicherheitslücke in der E-Mail-Software SmarterMail ermöglicht Hackern aktuell den vollständigen Zugriff auf Tausende Server weltweit. Die Schwachstelle wird bereits aktiv ausgenutzt, warnt das US-Cybersicherheitsamt CISA und fordert sofortiges Handeln.

Die als CVE-2026-23760 eingestufte Lücke ist besonders gefährlich: Sie erlaubt es Angreifern, ohne jegliche Anmeldung Administrator-Konten zu übernehmen. Von dort aus können sie nicht nur auf alle E-Mails zugreifen, sondern auch beliebige Befehle auf dem Betriebssystem ausführen. Ein Einfallstor für Spionage, Datenklau und die Übernahme ganzer Server.

Wie konnte das passieren? Der Fehler steckt in einer simplen Passwort-Zurücksetzen-Funktion. Die Schnittstelle (/api/v1/auth/force-reset-password) prüft nicht, wer die Anfrage stellt. Setzt ein Angreifer das Flag „IsSysAdmin“ auf „true“, akzeptiert das System einfach ein neues Passwort – und öffnet die Tür. „Einmal als Admin angemeldet, können Angreifer mit Bordmitteln direkt Kommandos auf dem Server ausführen“, erklären die Entdecker von watchTowr Labs.

Wenn Administrator-Konten kompromittiert werden, reichen Patches nicht allein. Ein aktueller Gratis-Report zeigt, welche Sofortmaßnahmen IT-Verantwortliche jetzt ergreifen müssen – von automatischem Patch-Management über effektives Threat Hunting bis zur richtigen Log-Analyse. Praxistipps speziell für Betreiber von Mail- und Windows-Servern helfen, die kritische Zeitspanne zwischen Patch-Veröffentlichung und Installation zu überbrücken. Jetzt kostenlosen Cyber-Security-Report herunterladen

Wettlauf gegen die Zeit

Die Chronologie zeigt, wie schnell Cyberkriminelle heute zuschlagen. Der Hersteller SmarterTools erhielt die Meldung am 8. Januar und veröffentlichte am 15. Januar einen Patch. Doch nur zwei Tage später tauchten die ersten aktiven Angriffe auf. Die Hacker hatten das Update offenbar rückentwickelt, um die Lücke zu verstehen und auszunutzen.

Das Zeitfenster für Verteidiger schrumpft damit dramatisch. Die US-Behörde CISA hat die Schwachstelle bereits in ihren Katalog bekannter, ausgenutzter Lücken aufgenommen. Für US-Bundesbehörden ist die Absicherung nun verpflichtend – ein deutliches Signal auch für Unternehmen weltweit.

Tausende Server in Gefahr

Das Ausmaß ist beträchtlich. SmarterMail ist eine weit verbreitete E-Mail- und Kollaborationsplattform für Windows-Server, besonders bei kleinen und mittleren Unternehmen sowie Hosting-Anbietern. Der Hersteller spricht von Millionen Nutzern in über 100 Ländern.

Bereits Ende Januar identifizierte die Sicherheitsorganisation Shadowserver über 6.000 SmarterMail-Server, die direkt aus dem Internet erreichbar und damit höchstwahrscheinlich angreifbar sind. Jeder davon ist ein potenzielles Ziel.

Was Betreiber jetzt tun müssen

Die Anweisung des Herstellers ist eindeutig: Sofort auf Build 9511 updaten. In diesem wurde nicht nur CVE-2026-23760 geschlossen, sondern kurz darauf auch eine weitere kritische Fernausführungs-Lücke (CVE-2026-24423). Nur die aktuellste Version bietet umfassenden Schutz.

Sicherheitsexperten raten zu einer drastischen Annahme: Wer eine anfällige Version betreibt, sollte davon ausgehen, bereits angegriffen worden zu sein. Neben dem Patch ist daher aktive Threat Hunting essenziell. Administratoren müssen Logs auf verdächtige Passwort-Zurücksetz-Vorgänge prüfen und nach unbefugten Konfigurationsänderungen suchen – etwa neuen System-Events oder geplanten Tasks, mit denen sich Angreifer dauerhaften Zugriff verschaffen.

Lehren für die Cybersicherheit

Der Fall SmarterMail ist ein Lehrstück in zwei Punkten: Erstens, wie gefährlich schlecht gesicherte API-Schnittstellen sein können. Jede Funktion, die administrative Rechte vergeben kann, muss mit mehrfachen Authentifizierungs-Hürden geschützt werden.

Zweitens unterstreicht er denTrend zur rasanten „Patch-Reverse-Engineering“. Angreifer warten nicht mehr wochenlang – sie analysieren Sicherheitsupdates sofort, um daraus funktionierende Exploits zu basteln. Für IT-Abteilungen bedeutet das: Die Zeit zwischen Patch-Veröffentlichung und Installation wird zur kritischsten Phase. Ein automatisiertes, schnelles Patch-Management ist heute keine Option mehr, sondern eine Überlebensfrage.

PS: Viele IT-Teams unterschätzen, wie schnell Exploit-Kits aus veröffentlichten Patches entstehen. Dieser kostenlose Leitfaden fasst bewährte Strategien zusammen – von Incident Response über Erkennung verdächtiger Reset-Vorgänge bis zu Konfigurations-Hardening für Mail-Server. Ideal für Hosting-Anbieter und Administratoren, die ihre Windows-Server nachhaltig absichern wollen. Gratis Cyber-Security-Leitfaden anfordern