[English]Microsoft hat bereits im Februar 2020 die Schwachstelle CVE-2020-0688 durch Sicherheitsupdates geschlossen. Aber auch Ende September 2020 sind noch mehr als 247.000 Exchange Server angreifbar, weil die Sicherheitsupdates nicht installiert (oder bei Version 2007 nicht verfügbar) sind. Und Exchange Server 2010 erreicht im Oktober 2020 das Supportende.
Anzeige
Sicherheitslücke CVE-2020-0688
Ich hatte bereits 2018 im Blog-Beitrag Sicherheitslücke in Exchange Server 2010-2019 auf das Problem hingewiesen. In Exchange existiert von Version 2010 bis 2019 eine Sicherheitslücke CVE-2020-0688. Seit Januar 2020 ist ein Exploit für diese Schwachstelle bekannt, und seit dem 11. Februar 2020 gibt es Updates zum Schließen der Sicherheitslücke.
Bei der Schwachstelle CVE-2020-0688 handelt es sich um eine Microsoft Exchange Validation Key Remote Code Execution-Sicherheitslücke, die in diesem Microsoft-Dokument vom 11. Februar 2020 beschrieben ist. Die Schwachstelle, die zu einer Remotecodeausführung ausgenutzt werden kann, besteht in Microsoft Exchange Server, wenn der Server bei der Installation nicht in der Lage ist, eindeutige (Cryptographische) Schlüssel zu erstellen.
Die Kenntnis eines Validierungsschlüssels ermöglicht es einem authentifizierten Benutzer mit einem Postfach, beliebige Objekte zu übergeben, die von der Webanwendung, die als SYSTEM läuft, deserialisiert werden sollen. Simon Zuckerbraun von der Zero Day Initiative hat zum 25. Februar 2020 diesen Blog-Beitrag mit einigen Erläuterungen veröffentlicht. Auch von Tenable gibt es diesen Beitrag zum Thema. Hier sind die verfügbaren und als wichtig klassifizierten Updates:
- Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30: KB4536989
- Microsoft Exchange Server 2013 Cumulative Update 23: KB4536988
- Microsoft Exchange Server 2016 Cumulative Update 14: KB4536987
- Microsoft Exchange Server 2016 Cumulative Update 15: KB4536987
- Microsoft Exchange Server 2019 Cumulative Update 3: KB4536987
- Microsoft Exchange Server 2019 Cumulative Update 4: KB4536987
Die benötigten Sicherheitsupdates sind also inzwischen verfügbar und können installiert werden. Allerdings gab es Probleme mit dem Update, wie ich im Beitrag Exchange Server 2013: Problem mit Sicherheitsupdate KB4536988 (Feb. 2020) erwähnt habe. Im Artikel sind Hinweise zu finden, wie Betroffene die Exchange Server wieder flott bekommen können.
Anzeige
Erschreckendes Bild: Ungepatchte Exchange Server!
Ab da wird die Geschichte aber zum Problem. Im April 2020 hatte ich im Blog-Beitrag Exchange Server: 80% nicht gegen CVE-2020-0688 gepatcht gewarnt, dass viele Exchange Server nicht gegen die Schwachstelle gepatcht waren. Bleeping Computer weist in diesem Artikel nun auf einen aktualisierten Bericht von Rapid7 hin. Rapid 7 verwendet das Internet-Tool Project Sonar zur Prüfung, ob Server gepatcht sind. Im Bericht geht Rapid 7 ausführlich auf die Sicherheits-Situation bei Exchange Server-Installationen ein. Dabei werden erschreckende Zahlen bezüglich der Sicherheit offenbart:
- Von den ~138.000 getesteten Exchange 2016-Servern sind 87% nicht auf dem letzten Update-Stand.
- Von den etwa 25.000 Exchange 2019-Servern sind 77 % wegen fehlender Updates gehen CVE-2020-0688-Angriffe anfällig.
- Etwa 54.000 Exchange 2010-Server wurden "seit sechs Jahren nicht mehr aktualisiert". Der Support für Exchange 2010 läuft im Oktober 2020 aus.
Rapid7 entdeckte außerdem 16.577 über das Internet erreichbare Exchange 2007-Server. Diese Server-Version ist längst aus dem Support gefallen und erhält als eine nicht mehr unterstützte Exchange-Version keine Sicherheitsupdates zum Schutz vor CVE-2020-0688-Angriffen. Erschreckende Zustände.
Ähnliche Artikel:
Exchange Server: 80% nicht gegen CVE-2020-0688 gepatcht
Achtung: Angriffe auf ungepatchte Exchange Server
Exchange Server: Remote Code Execution-Schwachstelle CVE-2020-16875
Juni 2020 Exchange Server Quartals-Update verfügbar
Fix für Exchange/iOS Outlook-App 'Geburtstags'-Bug
Exchange Online: Abschaltung Basic Authentication in 2021
Intune Exchange Connector auf TLS 1.2 umstellen
NSA warnt vor Angriffen auf Exchange-Systeme
Exchange Server 2013: Problem mit Sicherheitsupdate KB4536988 (Feb. 2020)
Exchange Server 2013 Mailfunktion nach Update außer Betrieb
Microsoft empfiehlt SMBv1 bei Exchange zu deaktivieren
Falle bei Telekom Hosting und MS Office 365 hosted Exchange
Office 365: Outlook-Suche in Exchange-Postfach geht nicht
iOS 13.1.x: Updates und Exchange-Probleme
Anzeige
Manchmal frage ich mich wirklich, warum ich so einen Aufriss betreibe, um meine Infrastrukturen gepatcht und sauber zu halten.
Die Low hanging fruits sind sprichwörtlich an jeder Ecke im Netz zu finden.
Auf der anderen Seite reicht halt auch eine Maschine und der Angreifer ist im Netz.
SYSyphos Arbeit trifft es ganz gut ^^
"Erschreckendes Bild: Ungepatchte Exchange Server!"
Ich kann die Administratoren sogar verstehen. Exchange. Äußerst mächtig, kann sehr vieles. Aber Himmel, noch nie habe ich etwas derart Fragiles und Zerbrechliches betreuen "müssen", wie diesen Murks. Und da spreche ich vielen meiner Kollegen aus der Seele. Häufig (nicht immer) führen kleinste Veränderungen am Exchange schon zu (Teil-)ausfällen, deren Ursache dann erst mal wieder diagnostiziert werden müssen.
Meine Lösung war einfach: Weg mit Exchange. Gleiches Leistungsspektrum wie vorab, dafür weniger kopfweh. :D
Ich bin sogar d'accord mit obigen Zeilen. Hab zwar das große Privileg, nicht in diese Niederungen rein zu müssen – aber durch meine bloggenden Aktivitäten bekomme ich so einiges mit.
Was ist dein Alternativ-Vorschlag? Also nicht nur Mail, sondern auch Kalender, Kontakte, Sync usw. Über Auto-Einrichtung will ich noch nicht mal reden.
Spätestens ab 2026 (Supportende für Ex2016/2019) muss dann was Neues her, wenn der Bums Cloud-only oder nur als Abo verfügbar wird… Aber warum nicht eher, wenn es die Möglichkeit gibt?
Das CERN ist gerade dabei von Exchange zu Kopano zu wechseln. Da scheinen alle Features enthalten zu sein. Will ich mir demnächst mal zum Test holen. Es braucht dringend eine Alternative zu MS Exchange!
https://kopano.com
@Max und keine paar Monate später hat sich das CERN von Kopano schon wieder verabschiedet und migriert(e) seine Kopano user nun zu dovecot + (Open-Xchange / Roundcube), Kopano hat halt leider auch so seine Haken und Macken :-(
Wäre interessant zu wissen wieso sie es beim CERN konkret wieder aufgegeben haben, werden wir aber wohl nie erfahren?
Wir haben teilweise Kunden mit Kerio im Einsatz. Die Benutzer können weiterhin Outlook benutzen, aber im Hintergrund geht es etwas geordneter zu.
Tatsächlich habe ich mich von einer "Einzel-Baustelle" verabschiedet und setze nun auf mehre Anwendungen.
Diese Anwendungen laufen auf zwei unterschiedlichen Distributionen (Windows / Linux-Kernel). Abgesehen von der typischen Redundanz bei Virtualisierung, die man eh einplanen sollte, habe ich hier einen weiteren Vorteil. Der potentielle Ausfall einer weiteren Komponente sorgt lediglich für einen Ausfall eines bestimmten Bereiches, nicht der vollständigen Anwendung.
Es muß nicht einmal mehr ein MS SQL bemüht werden, auch das kann durch Alternativen erledigt werden. Teils performanter (war nicht so wichtig), ressourcenschonender (immer ein Argument), als auch sicherer (bislang nie wieder Probleme mit defekten Journalen gehabt).
In 5 Jahren kam es bislang aber zu keinem einzigen Ausfall mehr, der einer fehlerhaften Konfiguration geschuldet war – trotz regelmäßiger Pflege und Wartung (ergo den wenigen Benutzereingriffen – das meiste läuft vollautomatisiert ab).
Zur DSGVO: Es wird *nichts* außerhalb gehostet oder Dritte involviert.
Zwei mal kam es zu Störungen von "außerhalb", aufgrund von Routing-Problemen durch den ISP, was aber intern kein Problem war.
Die gewählten Lösungen möchte ich nicht öffentlich benennen, da es ein leichtes ist meine Identität zu ermitteln – nebst Arbeitsplatz. Das wiederum würde unnötig Angriffsvektoren eröffnen.
PS: Auto-Konfiguration ist kein Exchange-Only-Feature, das läßt sich sogar mit Anwendungen wie Apache/nginx in Verbindung mit hMailServer realisieren. Mozilla bietet da verschiedene Leitfäden an.