Der Sicherheitsvorfall beim Hersteller SmarterTools, Entwickler des weit verbreiteten Mailservers SmarterMail, zeigt exemplarisch, wie eine einzige ungepatchte Instanz mit kritischer Schwachstelle ausreicht, um selbst den Anbieter eines Produkts ins Visier einer Ransomware-Kampagne zu bringen – inklusive Beeinträchtigung der eigenen Support- und Testinfrastruktur.
Ransomware-Angriff auf SmarterTools: Ablauf und Auswirkungen
Am 29. Januar 2026 kompromittierte die chinesische Hackergruppe Warlock (auch bekannt als Gold Salem bzw. Storm-2603) Teile der internen Infrastruktur von SmarterTools. Die Angreifer platzierten Ransomware auf rund 30 Mailservern in der Office-Umgebung des Unternehmens sowie in Rechenzentrumssegmenten, in denen QA- und Testsysteme betrieben wurden.
Nach Angaben von SmarterTools diente eine virtuelle Maschine mit veralteter SmarterMail-Version als Einstiegspunkt. Die VM war von einem Mitarbeiter bereitgestellt worden, ohne die kurz zuvor veröffentlichten Sicherheitsupdates zu installieren. Über diese ungepatchte Instanz konnten die Angreifer eine kritische Schwachstelle ausnutzen und sich schrittweise Administratorrechte auf mehreren Servern verschaffen.
Die eingesetzte Endpoint-Detection-&-Response-Lösung SentinelOne erkannte und blockierte zwar die eigentliche Verschlüsselungsaktivität, dennoch kam es zu temporären Ausfällen, unter anderem beim technischen Support-Portal. Eine wirksame Netzsegmentierung begrenzte die Ausbreitung der Attacke. Am stärksten betroffen waren Windows-Server (rund ein Dutzend Systeme), während die Linux-basierte Infrastruktur weitgehend unberührt blieb.
CVE-2026-24423 in SmarterMail: Kritische Remote-Code-Execution
Kern der Kompromittierung war die Schwachstelle CVE-2026-24423, die mit einem CVSS-Score von 9,3 als kritisch eingestuft und von der US-Behörde CISA in den Katalog der aktiv ausgenutzten Schwachstellen (Known Exploited Vulnerabilities) aufgenommen wurde – explizit im Kontext von Ransomware-Kampagnen. SmarterTools hatte bereits am 15. Januar 2026 einen Patch in SmarterMail Build 9511 veröffentlicht, technische Analysen von WatchTowr Labs folgten am 22. Januar, also nur eine Woche vor dem Angriff.
Unsicherer API-Endpunkt ermöglicht Authentifizierungs-Bypass und Remote-Code-Execution
Die Schwachstelle betraf den SmarterMail-API-Endpunkt /api/v1/settings/sysadmin/connect-to-hub. Dieser Endpunkt war besonders kritisch, weil er keine Authentifizierung erforderte, JSON-Daten per POST akzeptierte und den Parameter hubAddress ohne hinreichende Validierung vertraute, um eine Verbindung zu einem externen „Hub“-Server aufzubauen.
Ein Angreifer konnte einen manipulierten Request senden, in dem hubAddress auf einen von ihm kontrollierten Server zeigte. Der verwundbare SmarterMail-Server verband sich daraufhin mit diesem Host und forderte eine Konfiguration an. In der Antwort platzierte der Angreifer ein JSON-Objekt mit dem Parameter CommandMount, der eine beliebige Betriebssystemkommandokette enthielt. Diese Kommandos wurden anschließend serverseitig ausgeführt. Damit kombinierte CVE-2026-24423 Authentifizierungs-Umgehung und Remote Code Execution (RCE) in einem Schritt und eignete sich ideal für automatisiertes Massenscanning im Internet.
Hackergruppe Warlock: Fokus auf Windows-Umgebungen und verzögerte Verschlüsselung
Beobachtungen von Sicherheitsforschern zufolge konzentriert sich Warlock seit Jahren auf Schwachstellen in weit verbreiteten Unternehmensprodukten wie Microsoft SharePoint und Backup-Lösungen von Veeam. Die Aufnahme von SmarterMail in dieses Zielportfolio passt zu ihrem klaren Fokus auf Windows-zentrierte Infrastrukturen, was erklärt, warum Linux-Systeme bei SmarterTools in diesem Fall nicht angegriffen wurden.
Typisch für die Gruppe ist eine Verweilzeit von etwa 6–7 Tagen zwischen Erstzugriff und dem Start der Verschlüsselung. In dieser Phase kartieren die Angreifer das Netzwerk, versuchen Active-Directory-Domänencontroller zu kompromittieren, legen zusätzliche Accounts an und verteilen ihre Tools lateral auf weitere Windows-Systeme. Dieser zeitliche Versatz erklärt, warum einige SmarterMail-Kunden erst nach der Installation von Patches von Ransomware betroffen waren: Die Ausnutzung der Schwachstelle erfolgte bereits zuvor, die Verschlüsselung wurde aber bewusst verzögert aktiviert.
Weitere SmarterMail-Schwachstellen: CVE-2026-23760 und CVE-2026-25067
Im Vorfeld des Angriffs wurden in SmarterMail zwei weitere sicherheitsrelevante Schwachstellen bekannt. CVE-2026-23760 (CVSS 9,3) beschreibt ebenfalls eine kritische Remote-Code-Execution-Lücke, die laut Forschern aktiv ausgenutzt wird. CVE-2026-25067 (CVSS 6,9) ermöglicht darüber hinaus NTLM-Relay-Angriffe über den Endpunkt background-of-the-day preview, bei denen Windows-Authentifizierungsdaten missbraucht werden können.
Beide Schwachstellen wurden in den Versionen SmarterMail Build 9511 und 9518 behoben. Dass in kurzer Zeit gleich mehrere gravierende Fehler in einem E-Mail-Server-Produkt geschlossen werden mussten, unterstreicht die Notwendigkeit eines konsequenten Patch-Managements – explizit auch für Test- und temporäre Instanzen, die häufig außerhalb regulärer Update-Prozesse betrieben werden.
Reaktion von SmarterTools und zentrale Sicherheitsmaßnahmen für Unternehmen
Als Reaktion auf den Vorfall kündigte SmarterTools tiefgreifende Änderungen an der eigenen Infrastruktur an. Wo immer möglich, sollen Windows-Server durch alternative Plattformen ersetzt und die Nutzung von Active Directory vollständig eingestellt werden. Sämtliche Passwörter wurden zurückgesetzt und neu generiert, parallel läuft eine umfassende Sicherheitsüberprüfung der Produkte in Zusammenarbeit mit externen Sicherheitsforschern.
Kunden wird dringend empfohlen, mindestens auf SmarterMail Build 9526 vom 22. Januar 2026 zu aktualisieren und die Logdateien auf Zugriffe auf den Endpunkt /api/v1/settings/sysadmin/connect-to-hub zu prüfen. In gehärteten Versionen beantwortet dieser Endpunkt Anfragen mit HTTP 400 und einer Fehlermeldung, was eine einfache Unterscheidung zwischen verwundbaren und gepatchten Installationen ermöglicht.
Für Betreiber von SmarterMail und vergleichbaren E-Mail-Servern lassen sich klare Handlungsfelder ableiten: Alle Instanzen – produktiv wie testweise – sollten inventarisiert und umgehend auf den aktuellen Patchstand gebracht werden. Netzsegmentierung, der Einsatz von EDR-Lösungen, das Prinzip der minimalen Berechtigungen für Dienstkonten sowie eine kontinuierliche Log- und API-Überwachung sind entscheidende Bausteine, um ähnliche Angriffe frühzeitig zu erkennen oder deren Auswirkungen zu begrenzen. Unternehmen, die E-Mail-Infrastruktur als geschäftskritische Ressource begreifen und entsprechend absichern, reduzieren ihr Risiko, Opfer zukünftiger, zunehmend automatisierter Ransomware-Kampagnen zu werden, signifikant.
