[English]Warnung an Administratoren von Exchange Servern – Cyber-Kriminelle scannen das Internet aktuell nach ungepatchten Exchange-Installationen, um dort Schwachstellen auszunutzen.
Anzeige
Ich muss das Thema nochmals hoch holen, da es eine neue Bedrohungslage gibt. Ich hatte bereits 2018 im Blog-Beitrag Sicherheitslücke in Exchange Server 2010-2019 auf das Problem hingewiesen. In Exchange existiert von Version 2010 bis 2019 eine Sicherheitslücke CVE-2020-0688. Seit Januar 2020 ist ein Exploit für diese Schwachstelle bekannt, und seit dem 11. Februar 2020 gibt es Updates zum Schließen der Sicherheitslücke.
Sicherheitslücke CVE-2020-0688
Bei der Schwachstelle CVE-2020-0688 handelt es sich um eine Microsoft Exchange Validation Key Remote Code Execution-Sicherheitslücke, die in diesem Microsoft-Dokument vom 11. Februar 2020 beschrieben ist.
Die Schwachstelle, die zu einer Remotecodeausführung ausgenutzt werden kann, besteht in Microsoft Exchange Server, wenn der Server bei der Installation nicht in der Lage ist, eindeutige (Cryptographische) Schlüssel zu erstellen.
Die Kenntnis eines Validierungsschlüssels ermöglicht es einem authentifizierten Benutzer mit einem Postfach, beliebige Objekte zu übergeben, die von der Webanwendung, die als SYSTEM läuft, deserialisiert werden sollen. Simon Zuckerbraun von der Zero Day Initiative hat zum 25. Februar 2020 diesen Blog-Beitrag mit einigen Erläuterungen veröffentlicht. Auch von Tenable gibt es diesen Beitrag zum Thema.
Anzeige
Sicherheitsupdate zum 11.2.2020 freigegeben
Microsoft hat zum 11. Februar 2020 ein Sicherheitsupdate freigegeben. Dieses behebt die Schwachstelle, indem es die Art korrigiert, wie Microsoft Exchange die Schlüssel während der Installation erstellt. Hier sind die verfügbaren und als wichtig klassifizierten Updates:
- Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30: KB4536989
- Microsoft Exchange Server 2013 Cumulative Update 23: KB4536988
- Microsoft Exchange Server 2016 Cumulative Update 14: KB4536987
- Microsoft Exchange Server 2016 Cumulative Update 15: KB4536987
- Microsoft Exchange Server 2019 Cumulative Update 3: KB4536987
- Microsoft Exchange Server 2019 Cumulative Update 4: KB4536987
Die benötigten Sicherheitsupdates sind also inzwischen verfügbar und können installiert werden. Bleeping Computer hatte bereits vor einigen Stunden in nachfolgendem Tweet darauf hingewiesen, dass Hacker das Internet nach ungepatchten Exchange-Installationen scannen.
Hackers Scanning for Vulnerable Microsoft Exchange Servers, Patch Now! – by @sergheihttps://t.co/McWcPkjGuc
— BleepingComputer (@BleepinComputer) February 26, 2020
Auch dieser englischsprachige Beitrag und heise weisen auf die steigende Gefahr von Angriffen hin.
Ähnliche Artikel:
Sicherheitslücke in Exchange Server 2010-2019
Exchange Server 2013 Mailfunktion nach Update außer Betrieb
Microsoft empfiehlt SMBv1 bei Exchange zu deaktivieren
Sicherheitsinfos zu Linux und Exchange (26.2.2020)
Anzeige
Als erste Absicherung aus dem Internet würde es doch ausreichen das Exchange Admin Center (/ecp) zu deaktivieren. Dann wäre das Ausnutzen der Schwachstelle zumindest aus dem Internet nicht möglich, oder?
Hier gibts Anleitungen für Ex2019 und 2016, wobei das Ding für 2016 auch nur eine Krücke ist:
https://www.frankysweb.de/exchange-2019-client-access-rules/
https://www.frankysweb.de/exchange-2016-eac-nur-im-internen-netzwerk-freigeben/
Oder einfach den Exchange nicht ins Internet stellen, nur per VPN erreichbar machen.
PS: Bei FrankysWeb.de gibts grad Fehler 500, der Fehler wird sicher bald behoben sein.
Ja, Frank macht mir in letzter Zeit Sorgen – sein Webauftritt steht öfters und dann werden mir hier gebrochene Links in der Blog-Roll ausgeworfen.
Geht schon wieder :-)
Das ist noch nicht alles. Man muss noch in der web.config der EAC im Abschnitt nachsehen, da gibt es möglicherweise eine feste ID, die dann bei allen Exchange-Servern auf der Welt, die eine feste ID verwenden, gleich ist. Das muss auf Autogenerate geändert werden (analog zu c:\inetpub\wwwroot\web.config) oder raus.
https://de.tenable.com/blog/cve-2020-0688-microsoft-exchange-server-static-key-flaw-could-lead-to-remote-code-execution
https://www.thezdi.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys
Irgendwo gibts da auch noch einen MS-Artikel zum Ändern dieses Keys, irgendwann Oktober oder so letzten Jahres.
Hallo,
reicht es aus (als Sofortmaßnahme) den Zugriff auf ecp von außen (=Internet) zu deaktivieren?
Moin,
wir haben gestern auf einem 2013er auf CU23 + KB4536988 gepatcht und sind böse auf die Nase gefallen. Grund für die blutige Nase war letztlich eine Einstellung in der Default Domain Policy, die beim Verzeichniszuriff nochmal Adminberechtigungen anfordert. Folge war, dass das Verzeichnis für OWA/ECP nicht befüllt wurde und somit OWA/ECP kaputt waren. Ansonsten lief alles tadellos. Nach Deaktivierung dieser Einstellung war alles OK.
Hallo zusammen,
ich habe heute unseren Exchange Server 2016 mit dem CU16 aktualisiert. Da es von MS nur Patches für CU14 und CU15 gibt, nehme ich an, dass die Sicherheitslücke in CU16 dann schon behoben ist.
Danke für eine kurze Einschätzung.
Michael