Achtung: Angriffe auf ungepatchte Exchange Server

[English]Warnung an Administratoren von Exchange Servern – Cyber-Kriminelle scannen das Internet aktuell nach ungepatchten Exchange-Installationen, um dort Schwachstellen auszunutzen.


Anzeige

Ich muss das Thema nochmals hoch holen, da es eine neue Bedrohungslage gibt. Ich hatte bereits 2018 im Blog-Beitrag Sicherheitslücke in Exchange Server 2010-2019 auf das Problem hingewiesen. In Exchange existiert von Version 2010 bis 2019 eine Sicherheitslücke CVE-2020-0688. Seit Januar 2020 ist ein Exploit für diese Schwachstelle bekannt, und seit dem 11. Februar 2020 gibt es Updates zum Schließen der Sicherheitslücke.

Sicherheitslücke CVE-2020-0688

Bei der Schwachstelle CVE-2020-0688 handelt es sich um eine Microsoft Exchange Validation Key Remote Code Execution-Sicherheitslücke, die in diesem Microsoft-Dokument vom 11. Februar 2020 beschrieben ist. 

Die Schwachstelle, die zu einer Remotecodeausführung ausgenutzt werden kann, besteht in Microsoft Exchange Server, wenn der Server bei der Installation nicht in der Lage ist, eindeutige (Cryptographische) Schlüssel zu erstellen.

Die Kenntnis eines Validierungsschlüssels ermöglicht es einem authentifizierten Benutzer mit einem Postfach, beliebige Objekte zu übergeben, die von der Webanwendung, die als SYSTEM läuft, deserialisiert werden sollen. Simon Zuckerbraun von der Zero Day Initiative hat zum 25. Februar 2020 diesen Blog-Beitrag mit einigen Erläuterungen veröffentlicht. Auch von Tenable gibt es diesen Beitrag zum Thema.

Sicherheitsupdate zum 11.2.2020 freigegeben

Microsoft hat zum 11. Februar 2020 ein Sicherheitsupdate freigegeben. Dieses behebt die Schwachstelle, indem es die Art korrigiert, wie Microsoft Exchange die Schlüssel während der Installation erstellt. Hier sind die verfügbaren und als wichtig klassifizierten Updates:

  • Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30: KB4536989
  • Microsoft Exchange Server 2013 Cumulative Update 23: KB4536988
  • Microsoft Exchange Server 2016 Cumulative Update 14: KB4536987
  • Microsoft Exchange Server 2016 Cumulative Update 15: KB4536987
  • Microsoft Exchange Server 2019 Cumulative Update 3: KB4536987
  • Microsoft Exchange Server 2019 Cumulative Update 4: KB4536987

Die benötigten Sicherheitsupdates sind also inzwischen verfügbar und können installiert werden. Bleeping Computer hatte bereits vor einigen Stunden in nachfolgendem Tweet darauf hingewiesen, dass Hacker das Internet nach ungepatchten Exchange-Installationen scannen.

Auch dieser englischsprachige Beitrag und heise weisen auf die steigende Gefahr von Angriffen hin.


Anzeige

Ähnliche Artikel:
Sicherheitslücke in Exchange Server 2010-2019
Exchange Server 2013 Mailfunktion nach Update außer Betrieb
Microsoft empfiehlt SMBv1 bei Exchange zu deaktivieren
Sicherheitsinfos zu Linux und Exchange (26.2.2020)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Office, Sicherheit, Software, Update abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Achtung: Angriffe auf ungepatchte Exchange Server

  1. Spawny sagt:

    Als erste Absicherung aus dem Internet würde es doch ausreichen das Exchange Admin Center (/ecp) zu deaktivieren. Dann wäre das Ausnutzen der Schwachstelle zumindest aus dem Internet nicht möglich, oder?

  2. Tom Schmidt sagt:

    Moin,
    wir haben gestern auf einem 2013er auf CU23 + KB4536988 gepatcht und sind böse auf die Nase gefallen. Grund für die blutige Nase war letztlich eine Einstellung in der Default Domain Policy, die beim Verzeichniszuriff nochmal Adminberechtigungen anfordert. Folge war, dass das Verzeichnis für OWA/ECP nicht befüllt wurde und somit OWA/ECP kaputt waren. Ansonsten lief alles tadellos. Nach Deaktivierung dieser Einstellung war alles OK.

  3. Michael Weinreich sagt:

    Hallo zusammen,
    ich habe heute unseren Exchange Server 2016 mit dem CU16 aktualisiert. Da es von MS nur Patches für CU14 und CU15 gibt, nehme ich an, dass die Sicherheitslücke in CU16 dann schon behoben ist.
    Danke für eine kurze Einschätzung.
    Michael

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.