Weiter ungepatchte Exchange-Server in Deutschland (Nov. 2020)

[English]Kurzer Hinweis an Administratoren von Microsoft Exchange-Servern: Habt ihr diese gegen die Remote Execution-Schwachstelle CVE-2020-0688  gepatcht? CERT-Bund warnt seit Wochen, dass zahlreiche deutsche Exchange-Server mit der Schwachstelle per Internet erreichbar sind.

Warnung von CERT-Bund vor CVE-2020-0688

Ich sehe auf Twitter praktisch alle paar Tage eine Meldung von CERT-Bund, in der sich über ungepatchte Exchange-Server in Deutschland beklagt wird. Hier die Tweets. Vor 6 Wochen wurde von CERT-Bund eine Kampagne gestartet, bei der tägliche Reports an deutsche Netzbetreiber/Provider gingen. Darüber wurden diese über verwundbare Microsoft Exchange-Server informiert, die per Internet erreichbar waren und die kritische Schwachstelle CVE-2020-0688 aufwiesen.

CERT-Bund-Warnung vor Exchange-Schwachstelle CVE-2020-0688

Auch sechs Wochen später ist über die Hälfte dieser per Internet erreichbaren Exchange-Server ungepatcht. Unter anderem fällt die Masse der Exchange 2010-Installationen auf. Diese Version ist im Oktober 2020 aus dem Support gefallen. In einem weiteren Tweet (untere Grafik) zeigt CERT-Bund die Verteilung über einzelne Provider. Das lässt vermuten, dass einige Provider ihre Kunden informieren, während andere Provider die CERT-Bund-Meldungen versickern lassen.

Hintergrund zur Schwachstelle CVE-2020-0688

Ich hatte bereits 2018 im Blog-Beitrag Sicherheitslücke in Exchange Server 2010-2019 auf das Problem hingewiesen. In Exchange existiert von Version 2010 bis 2019 eine Sicherheitslücke CVE-2020-0688. Seit Januar 2020 ist ein Exploit für diese Schwachstelle bekannt, und seit dem 11. Februar 2020 gibt es Updates zum Schließen der Sicherheitslücke.

Bei der Schwachstelle CVE-2020-0688 handelt es sich um eine Microsoft Exchange Validation Key Remote Code Execution-Sicherheitslücke, die in diesem Microsoft-Dokument vom 11. Februar 2020 beschrieben ist. Die Schwachstelle, die zu einer Remotecodeausführung ausgenutzt werden kann, besteht in Microsoft Exchange Server, wenn der Server bei der Installation nicht in der Lage ist, eindeutige (Cryptographische) Schlüssel zu erstellen.

Die Kenntnis eines Validierungsschlüssels ermöglicht es einem authentifizierten Benutzer mit einem Postfach, beliebige Objekte zu übergeben, die von der Webanwendung, die als SYSTEM läuft, deserialisiert werden sollen. Simon Zuckerbraun von der Zero Day Initiative hat zum 25. Februar 2020 diesen Blog-Beitrag mit einigen Erläuterungen veröffentlicht. Auch von Tenable gibt es diesen Beitrag zum Thema. Hier sind die verfügbaren und als wichtig klassifizierten Updates:

• Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30: KB4536989
• Microsoft Exchange Server 2013 Cumulative Update 23: KB4536988
• Microsoft Exchange Server 2016 Cumulative Update 14: KB4536987
• Microsoft Exchange Server 2016 Cumulative Update 15: KB4536987
• Microsoft Exchange Server 2019 Cumulative Update 3: KB4536987
• Microsoft Exchange Server 2019 Cumulative Update 4: KB4536987

Die benötigten Sicherheitsupdates sind also inzwischen verfügbar und können installiert werden. Allerdings gab es Probleme mit dem Update, wie ich im  Beitrag Exchange Server 2013: Problem mit Sicherheitsupdate KB4536988 (Feb. 2020) erwähnt habe. Im Artikel sind Hinweise zu finden, wie Betroffene die Exchange Server wieder flott bekommen können.

Ähnliche Artikel:
Exchange Server: 80% nicht gegen CVE-2020-0688 gepatcht
Achtung: Angriffe auf ungepatchte Exchange Server
Exchange Server: Remote Code Execution-Schwachstelle CVE-2020-16875
Exchange Server 2013: Problem mit Sicherheitsupdate KB4536988 (Feb. 2020)
Exchange Server 2013 Mailfunktion nach Update außer Betrieb
Microsoft empfiehlt SMBv1 bei Exchange zu deaktivieren
Über 247.000 ungepatchte Exchange Server über CVE-2020-0688 angreifbar – Exchange 2010 erreicht EOL