Exchange Server: 80% nicht gegen CVE-2020-0688 gepatcht

[English]Sehr unschöne Sache: Seit Februar 2020 liegt ein Patch gegen die Remote Code Execution (RCE)-Schwachstelle CVE-2020-0688 im Microsofts Exchange Server vor. Aber 80 % der öffentlich erreichbaren Microsofts Exchange Server sind nicht gepatcht. Allerdings ist ‘patcht doch endlich’ nicht immer ganz einfach.


Anzeige

Mit Ansage ins Desaster?

Ich hatte bereits 2018 im Blog-Beitrag Sicherheitslücke in Exchange Server 2010-2019 auf das Problem hingewiesen. In Exchange existiert von Version 2010 bis 2019 eine Sicherheitslücke CVE-2020-0688. Seit Januar 2020 ist ein Exploit für diese Schwachstelle bekannt, und seit dem 11. Februar 2020 gibt es Updates zum Schließen der Sicherheitslücke.

Sicherheitslücke CVE-2020-0688

Bei der Schwachstelle CVE-2020-0688 handelt es sich um eine Microsoft Exchange Validation Key Remote Code Execution-Sicherheitslücke, die in diesem Microsoft-Dokument vom 11. Februar 2020 beschrieben ist. 

Die Schwachstelle, die zu einer Remotecodeausführung ausgenutzt werden kann, besteht in Microsoft Exchange Server, wenn der Server bei der Installation nicht in der Lage ist, eindeutige (Cryptographische) Schlüssel zu erstellen.

Die Kenntnis eines Validierungsschlüssels ermöglicht es einem authentifizierten Benutzer mit einem Postfach, beliebige Objekte zu übergeben, die von der Webanwendung, die als SYSTEM läuft, deserialisiert werden sollen. Simon Zuckerbraun von der Zero Day Initiative hat zum 25. Februar 2020 diesen Blog-Beitrag mit einigen Erläuterungen veröffentlicht. Auch von Tenable gibt es diesen Beitrag zum Thema.

Warnung Ende Februar 2020 hier im Blog

Es ist leider ein wiederkehrendes Thema. Am 28. Februar 2020 hatte ich hier im Blog den Beitrag Achtung: Angriffe auf ungepatchte Exchange Server. Die Botschaft: Cyber-Kriminelle scannen das Internet aktuell nach ungepatchten Exchange-Installationen, um dort Schwachstellen auszunutzen.

Sicherheitsupdate zum 11.2.2020 freigegeben

Microsoft hat zum 11. Februar 2020 ein Sicherheitsupdate freigegeben. Dieses behebt die Schwachstelle, indem es die Art korrigiert, wie Microsoft Exchange die Schlüssel während der Installation erstellt. Hier sind die verfügbaren und als wichtig klassifizierten Updates:

  • Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30: KB4536989
  • Microsoft Exchange Server 2013 Cumulative Update 23: KB4536988
  • Microsoft Exchange Server 2016 Cumulative Update 14: KB4536987
  • Microsoft Exchange Server 2016 Cumulative Update 15: KB4536987
  • Microsoft Exchange Server 2019 Cumulative Update 3: KB4536987
  • Microsoft Exchange Server 2019 Cumulative Update 4: KB4536987

Die benötigten Sicherheitsupdates sind also inzwischen verfügbar und können installiert werden.

Update-Qualität unter aller Sau!


Anzeige

In diesem Konzert kann man sich aber nicht auf das ‘blauäugige patcht endlich’ zurückziehen. Denn Microsoft hat die Updates nicht im Griffe und ein Exchange-Admin sollte sich auf Probleme gefasst machen. So musste ich im Blog-Beitrag Exchange Server 2013: Problem mit Sicherheitsupdate KB4536988 (Feb. 2020) auch auf Probleme mit diesem Update hinweisen. Im Artikel sind Hinweise zu finden, wie Betroffene die Exchange Server wieder flott bekommen können.

80% der Systeme sind ungepatcht

Angesichts der oben skizzierten Gemengelage ist es kein Wunder, dass Administratoren da mit dem Patch gewartet haben. Und jetzt kommt das Thema während der Covid-19-Krise zur ungünstigsten Zeit. Aber es tickt eine Bombe mit Zeitzünder, denn 80% der öffentlich erreichbaren Exchange Server sind wohl über CVE-2020-0688 angreifbar.

Darauf weist Bleeping Computer in dem in obigem Tweet verlinkten Beitrag erneut hin. Hintergrund: Das Cyber-Sicherheitsunternehmen Rapid7, welches das Metasploit-Penetrationstest-Framework entwickelt, fügte am 4. März 2020 ein neues MS Exchange RCE-Modul zum Pen-Testing-Tool hinzu. Hintergrund war, dass mehrere Proof-of-Concept-Exploits auf GitHub aufgetaucht waren.

Ab dem 24. März nutzte Rapid7 sein Tool aus dem Project Sonar, um alle öffentlich zugänglichen Exchange-Server im Internet zu scannen. Der nachfolgende Tweet gibt einige Ergebnisse preis.

Die Ergebnisse sind nicht erbaulich. Es sind “mindestens 357.629 (82,5%) der per Internet erreichbaren 433.464 Exchange-Server” immer noch anfällig für Angriffe auf die CVE-2020-0688-Schwachstelle. Folge-Tweets von Tom Sellers legen weitere unschöne Informationen offen.

Die Details lassen sich in diesem Rapid7-Blog-Beitrag nachlesen. Der Beitrag liefert die Exchange-Builds, die als sicher gelten. Dort gibt es aber auch die Information, dass man der Build-Nummer, die in Microsoft Exchange 2010 über Exchange Management Shell (EMS) und Exchange Management Console (EMC) angezeigt wird, nach Installation des Service Pack 3 nicht trauen darf. Admins von Exchange-Servern sollten sich den obigen Blog-Beitrag daher genauer durchlesen.

Man sollte jetzt (richtig) reagieren

Bei heise findet sich dieser Artikel zum Thema mit der Aufforderung ‘jetzt patchen’. In dieser ‘angegebenen Form’ halte ich das, angesichts der möglichen Probleme, für nicht ausreichend, was auch in dieser Diskussion aufgegriffen wird. Falls ihr von einem nicht gepatchten Exchange Server betroffen seid, habt ihr in obigem Text die notwendigen Informationen – einschließlich der Hinweise im Artikel Exchange Server 2013: Problem mit Sicherheitsupdate KB4536988 (Feb. 2020). Vielleicht kommt ihr weiter – viel Glück.

Ähnliche Artikel:
Sicherheitslücke in Exchange Server 2010-2019
Exchange Server 2013 Mailfunktion nach Update außer Betrieb
Microsoft empfiehlt SMBv1 bei Exchange zu deaktivieren
Sicherheitsinfos zu Linux und Exchange (26.2.2020)
Achtung: Angriffe auf ungepatchte Exchange Server
Exchange Server 2013: Problem mit Sicherheitsupdate KB4536988 (Feb. 2020)


Anzeige


Dieser Beitrag wurde unter Sicherheit, Software, Update, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Exchange Server: 80% nicht gegen CVE-2020-0688 gepatcht


  1. Anzeige
  2. Christian S sagt:

    Hatte von der Schwachstelle am 28.02 in deinem Blog gelesen und noch am gleichen Tag installiert.
    Was die miese Qualität der Updates angeht kann ich leider nur zustimmen. Was wir ,gerade in 2019, an Server restoren mussten, weil sie nach Windows Update einfach in der Bootschleife steckten… Einfach Wahnsinn.
    Eine kurze Zeit (~3 Monate) hatten wir dann tatsächlich einfach keine Windows-Updates mehr installiert, weil uns das Risiko das Updates die Server zerschießt schlimmer erschien, wie die Sicherheitslücken…

  3. Chris sagt:

    Habe das Update Ende Februar eingespielt, gab keinerlei Probleme.
    Allerdings hängt der Exchange (2013) auch nicht direkt im Internet, war auf dem neusten CU23 und auch so up to date was die Windows Updates anging, wahrscheinlich ein Hauptgrund dafür ist das es keine Probleme gab.

    Ein über das Internet erreichbarer Exchange wird sicher nicht so regelmäßig upgedatet (wobei grade er immer aktuell sein sollte) da er 24/7 erreichbar sein soll, während der im lokalen Netzwerk liegende Exchange viel mehr Wartungsfenster für solche Aufgaben hat.

    • Michael sagt:

      Du betreibst einen Mail Server, der über’s Internet nicht erreichbar ist? Würd’ mich jetzt schon der Anwendungsfall interessieren.

      • Meier Martin sagt:

        Hallo.

        Evtl. nicht “direkt” über das Internet erreichbar gemeint? Also bspw. über einen Reverse-Proxy, der ECP vom außerhalb nicht zulässt?

        Gruß
        Martin

  4. Anzeige

  5. Steve sagt:

    Oder einfach die aktuellen CUs installieren:

    2013 CU24
    2016 CU16
    2019 CU5

    • Anderl sagt:

      Es gibt kein CU24 für 2013, oder habe ich was übersehen?

      • Steve sagt:

        Ich hatte meinen Kommentar eigentlich noch editiert und das CU24 gestrichen, aber er hat es komischerweise nicht übernommen, denn ein CU24 für 2013 gibt es wie du sagst in der Tat nicht.

  6. Meinolf Weber sagt:

    Auch wenn schon sehr alt, bei Exchange 2010 lässt sich Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30 nur installieren wenn das Microsoft Visual c++ 2013 redistributable package x64 installiert ist.
    Bei uns ist die Installation mehrfach fehlgeschlagen und beim manuellen Installieren des UR 30 kam dann die Fehlermeldung das o.g. Software fehlt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.