SmarterMail: Kritische Lücke bringt Millionen E-Mail-Server in Gefahr

Eine massive Ransomware-Kampagne nutzt eine schwerwiegende Schwachstelle in der E-Mail-Plattform SmarterMail aus und hat sogar den Hersteller selbst getroffen. Die US-Cybersicherheitsbehörde CISA warnt dringend vor der aktiven Bedrohung.

Die Cybercrime-Gruppe Warlock führt derzeit eine ausgeklügelte Angriffswelle gegen Nutzer der E-Mail-Server-Software SmarterMail. Kern des Problems ist die kritische Sicherheitslücke CVE-2026-24423, die Angreifern erlaubt, Server ohne Authentifizierung zu übernehmen. Besonders brisant: Der Software-Entwickler SmarterTools bestätigte, selbst mit der eigenen Schwachstelle im internen Netzwerk kompromittiert worden zu sein. Die Lücke betrifft schätzungsweise 15 Millionen Nutzer in 120 Ländern.

So funktioniert der ungeschützte Zugang

Die Schwachstelle mit dem hohen Gefahrenscore von 9,3 liegt in einer ungeschützten Programmierschnittstelle (API) von SmarterMail. Sie erfordert keine Anmeldedaten für eine kritische Funktion. Ein Angreifer kann so über eine speziell präparierte HTTP-Anfrage beliebige Befehle auf dem Server ausführen lassen.

„Das gibt Cyberkriminellen eine direkte Leitung in den Server“, erklärt ein Sicherheitsforscher. Von dort aus können sie Code ausführen, Berechtigungen eskalieren und Schadsoftware wie Ransomware installieren. Der Hersteller hat das Problem mit dem Update Build 9511 vom 15. Januar 2026 behoben. Alle älteren Versionen sind weiterhin angreifbar.

Viele Unternehmen sind auf genau solche Ransomware-Angriffszenarien nicht vorbereitet – Sicherheitslücken und fehlende Awareness sind oft das Einfallstor. Unser kostenloses E‑Book fasst aktuelle Cyber‑Security‑Trends zusammen und zeigt konkret, welche technischen und organisatorischen Sofortmaßnahmen (Patching, WAF, Netzwerksegmentierung, Log‑Monitoring) jetzt wirkungsvoll schützen. Es richtet sich an IT‑Verantwortliche und Entscheider und erklärt in verständlichen Schritten, wie Sie Ihr Unternehmen ohne große Investitionen besser gegen Erpressungstrojaner absichern. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Hersteller wird zum Opfer der eigenen Lücke

In einer ironischen Wendung wurde SmarterTools selbst zum Ziel. Wie Chief Operating Officer Derek Curtis am 9. Februar bestätigte, drang die Warlock-Gruppe am 29. Januar über eine ungepatchte virtuelle Maschine mit einer alten SmarterMail-Version im Firmennetzwerk ein.

Die Angreifer bewegten sich seitwärts und kompromittierten etwa 30 Server im Büronetzwerk und einem Test-Rechenzentrum. Das Support-Portal fiel vorübergehend aus. Laut Curtis verhinderte die Sicherheitssoftware SentinelOne eine Verschlüsselung der Daten, und Netzwerksegmentierung schützte kritische Systeme wie die Hauptwebsite. Das Unternehmen hat die betroffene Infrastruktur abgeschaltet und sicher wiederhergestellt.

CISA zwingt US-Behörden zum Handeln

Die US-Cybersicherheitsbehörde CISA hat die Lücke am 6. Februar in ihren Katalog aktiv ausgenutzter Schwachstellen aufgenommen. Das ist ein offizielles Signal: Die Gefahr ist real und wird bereits für Angriffe missbraucht.

CISA hat alle US-Bundesbehörden angewiesen, das Patch bis zum 26. Februar 2026 einzuspielen. Die Behörde drängt auch private Unternehmen dringend zur sofortigen Aktualisierung. Die Warnung unterstreicht das hohe Risiko von Betriebsunterbrechungen und Datendiebstahl durch Gruppen wie Warlock.

Warum E-Mail-Server ein lukratives Ziel sind

E-Mail-Server sind für Cyberkriminelle ein klassisches Hochrisiko-Ziel. Sie verarbeiten sensible Daten und sind ein zentraler Kommunikationsknoten. Eine Kompromittierung kann als Sprungbrett für tiefere Netzwerk-Invasionen dienen.

Die mutmaßlich in China basierte Gruppe Warlock tritt seit Mitte 2025 auf und nutzt ein Ransomware-as-a-Service-Modell. Sie ist für Doppel-Erpressung bekannt: Daten werden nicht nur verschlüsselt, sondern auch gestohlen und mit Veröffentlichung gedroht. Sicherheitsanalysten verbinden die Gruppe mit der Bedrohungsakteurin Storm-2603, die bereits mit anderen Ransomware-Varianten in Verbindung gebracht wurde.

Der Angriff auf SmarterTools selbst ist eine deutliche Mahnung: Selbst Technologieunternehmen können Opfer von Lücken in der eigenen Software werden. Das unterstreicht die kritische Notwendigkeit zeitnaher Updates.

Was Betreiber jetzt tun müssen

Die oberste Priorität für alle SmarterMail-Administratoren ist klar: Sofort auf Build 9511 oder höher updaten. SmarterTools hat bereits einen weiteren Build (9526) mit zusätzlichen Sicherheitsverbesserungen veröffentlicht.

Sicherheitsexperten raten zudem, Server-Logs auf verdächtige Aktivitäten im Zusammenhang mit der ungesicherten API zu überprüfen, insbesondere ungewöhnliche ausgehende Verbindungen. Der Zugriff auf die API sollte durch eine Web Application Firewall (WAF) eingeschränkt werden.

Da Warlock bereits erfolgreich SmarterTools und einige Kunden kompromittiert hat, ist es sehr wahrscheinlich, dass die Gruppe weiterhin das Internet nach ungepatchten Servern absucht. Unternehmen, die nicht schnell handeln, riskieren einen lähmenden Ransomware-Angriff.

PS: Sie haben gerade gelesen, wie die Warlock-Gruppe ungepatchte SmarterMail‑Server ausnutzt — handeln Sie, bevor Angreifer zuschlagen. Der Gratis‑Report enthält eine sofort einsetzbare 4‑Punkte‑Checkliste mit technischen Härtungsmaßnahmen, Vorlagen für Awareness‑Schulungen und Empfehlungen zu Patch‑Management und WAF. Ideal für Administratoren und Geschäftsführung, die Betriebsunterbrechungen und Datenverlust verhindern wollen. Gratis-Report jetzt herunterladen