Microsoft Defender schließt automatisch CVE-2021-26855 auf Exchange Server

Publiziert am 19. März 2021 von Günter Born

[English]Microsoft leitet den nächsten Schritt in Sachen Absicherung von On-Premises Exchange-Installationen ein. Der Microsoft Defender erkennt nicht nur Infektionen eines Systems als Folge der ProxyLogon-Schwachstellen. Der Virenscanner kann ein angreifbares System auch automatisch erkennen und schließt die Schwachstelle CVE-2021-26855 auf Exchange Server.

Anzeige

Hundertausende Exchange-Server mit Schwachstellen

Anfang März 2021 wurde ja bekannt, dass es in den On-Premises Exchange Server-Versionen 2013 – 1019 vier Schwachstellen gab, die eine Kompromittierung der Installation mit Übernahme ermöglichen. Und es war der mutmaßlich staatsnahen chinesischen Hackergruppe Hafnium gelungen, diese Schwachstellen monatelang in On-Premise Exchange Servern zum Eindringen zu verwenden. Die Schwachstelle wurde erst am 2. März 2021 durch Sicherheitsupdates geschlossen. Ich hatte in diversen Blog-Beiträgen darüber berichtet (siehe Artikelende).

Ziel der Angreifer war es, Kontrolle über die E-Mails der Opfer zu bekommen und möglicherweise über die Active Directory-Berechtigungen auf deren Netzwerk-Infrastruktur zuzugreifen und sich dort einzunisten. Administratoren waren weltweit damit beschäftigt, die per Internet über Port 443 erreichbaren und angreifbaren Exchange Server abzusichern. Seit Ende Februar 2021 laufen Massenscans, um angreifbare Exchange Server zu kompromittieren und eine Webshell als Backdoor zu installieren. Sicherheitsanbieter identifizierten 170.000 bis 280.000 potentiell angreifbare Exchange-Instanzen.

Microsoft hat zwar Tools zum Erkennen infizierter Exchange-Systeme freigegeben. Zudem wurden9.000 Exchange-Server in den letzten zwei Wochen in Deutschland offline genommen bzw. der Zugriff auf OWA aus dem Internet wurde unterbunden. Allerdings sind noch ca. 12.000 von 56.000 Exchange-Servern mit offenem OWA in Deutschland für ProxyLogon verwundbar. Inzwischen zielen auch Cyber-Kriminelle und mindestens zehn Bedrohungsakteure darauf ab, verwundbare Exchange Systeme über die Sicherheitslücken anzugreifen und mit Ransomware oder Crypto-Minern zu infizieren.

Microsoft hat zwar PowerShell-Scripte und Tools veröffentlicht, um Infektionen auf Exchange Servern zu erkennen (siehe Links am Artikelende) und auch zu beheben (Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben). Das reicht aber wohl nicht aus, um die Exchange Server-Instanzen schnell in den Griff zu bekommen.

Microsoft Defender härtet Exchange-Installationen

Da Cyberkriminelle weiterhin ungepatchte On-Premises-Versionen von Exchange Server 2013, 2016 und 2019 ausnutzen, arbeitet Microsoft aktiv mit Kunden und Partnern zusammen, um diese bei der Absicherung von Exchange Server-Systemen zu unterstützen. Neben Sicherheitsupdates und dem Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) konnte der Windows Defender bereits bestimmte Schadsoftware erkennen.

Microsoft Defender Mitigation of CVE-2021-26855

Gerade hat Microsoft angekündigt, dass sowohl der Microsoft Defender als auch System Center Endpoint Protection so erweitert wurden, dass diese automatisch die Schwachstelle CVE-2021-26855 in ungepatchten Instanzen von Exchange-Server 2013-2019 entschärft. Mit dem neuesten Security Intelligence Update entschärfen Microsoft Defender Antivirus und System Center Endpoint Protection automatisch die Sicherheitslücke CVE-2021-26855 auf allen anfälligen Exchange-Servern.

Es ist lediglich erforderlich, dass eines der genannten Virenschutzprogramme auf dem Exchange Server installiert ist. Anwender Kunden müssen nichts weiter unternehmen, als sicherzustellen, dass sie das neueste Security Intelligence Update (Build 1.333.747.0 oder neuer) installiert haben. Sofern automatische Updates aktiviert sind, kommt diese neue Build automatisch.

Anzeige

Bei einem Scan wird die Schwachstelle CVE-2021-26855 entschärft. Weiterhin wird der Server einem Scan unterzogen und möglicherweise gefundene Manipulationen bekannter Angreifer werden dann rückgängig gemacht. Diese vorläufige Abschwächung soll Kunden helfen, sich zu schützen, und Zeit zu geben, das neueste kumulative Exchange-Update für ihre Version zu installieren. Weitere Details lassen sich in diesem Microsoft Blog-Beitrag nachlesen.

Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren
Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben
Sicherheitsupdate für Exchange Server 2013 Service Pack 1 – Neue CUs für Exchange 2019 und 2016 (16.3.2021)

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Virenschutz, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.