Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)

Windows Update[English]Noch ein kleiner Übersichtsbeitrag für Administratoren von Microsoft Exchange Servern, die dringend durch kumulative Updates vom März 2021 gepatcht werden müssen. Microsoft weist darauf hin, dass die Installation mit administrativen Berechtigungen erfolgen muss, da der Patch andernfalls die Schwachstellen nicht schließt. Zudem warnt das BSI, dass tausende Exchange Server per Internet erreichbar und wohl schon infiziert sind.


Anzeige

Microsofts Hinweise zur Update-Installation

In den Microsoft On-Premise Exchange-Server Versionen 2010 bis 2019 gibt es die vier Schwachstellen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065, die von der mutmaßlich staatsnahen chinesischen Hacker-Gruppe HAFNIUM für gezielte Angriffe ausgenutzt werden. Die Schwachstellen ermöglichen eine Remote Code Execution (RCE) und die Übernahme des Exchange-Servers oder das Abziehen von Informationen.

Microsoft hat für die On-Premise-Varianten von Exchange-Server (2010 bis 2019) zum 2. März Sicherheitsupdates freigegeben, um diese Schwachstellen zu schließen. Ich hatte im Blog-Beitrag Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen! auf diesen Sachverhalt hingewiesen. Allerdings gibt es im Zusammenhang mit der Update-Installation ggf. Probleme, wenn der Patch nicht mit Administratorenrechten installiert wird. Blog-Leser SeaStorm weist in diesem Kommentar zum Artikel Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021) auf diesen Sachverhalt hin.

Microsoft hat den Supportbeitrag mit einer Warnung versehen, dass die manuelle Installation des Updates per Doppelklick schief gehen könne, wenn keine administrativen Berechtigungen erteilt werden.

Known issues in this update

When you try to manually install this security update by double-clicking the update file (.msp) to run it in normal mode (that is, not as an administrator), some files are not correctly updated.

When this issue occurs, you don't receive an error message or any indication that the security update was not correctly installed. However, Outlook on the web and the Exchange Control Panel (ECP) might stop working.

This issue occurs on servers that are using User Account Control (UAC). The issue occurs because the security update doesn't correctly stop certain Exchange-related services.

Es tritt genau das im Beitrag Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021) Fehlerbild auf, wenn das Update manuell per Doppelklick installiert wird und die Benutzerkontensteuerung auf dem Exchange Server aktiviert ist. Dann kann das Update bei der Installation bestimmte Exchange-Dienste nicht stoppen und die Installation geht schief. Abhilfe schafft, eine administrative Eingabeaufforderung über Als Administrator ausführen zu starten und dann die .msu-Installationsdatei des Updates mit voller Pfadangabe zu starten. Bleeping Computer hat das Ganze in diesem Beitrag ebenfalls thematisiert.


Anzeige

BSI-Warnung vor ungepatchten Systemen

Das BSI warnt in nachfolgendem Tweet vor ungepatchten Exchange Servern, die per Internet erreichbar seien. Betroffen seien laut der Suchmaschine Shodan Zehntausende Systeme.

BSI-Warnung vor ungepatchten Systemen

Hier der Text der BSI-Warnung:

Zehntausende Exchange-Server in Deutschland sind nach Informationen des IT-Dienstleisters Shodan über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Betroffen sind Organisationen jeder Größe. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat begonnen, potentiell Betroffene zu informieren. Es empfiehlt allen Betreibern von betroffenen Exchange-Servern, sofort die von Microsoft bereitgestellten Patches einzuspielen.

In der Nacht auf Mittwoch, den 3. März 2021, hat Microsoft kurzfristig neue Sicherheitsupdates für das Produkt „Exchange-Server" veröffentlicht, mit dem vier Schwachstellen geschlossen werden. Diese werden derzeit aktiv von einer Angreifergruppe ausgenutzt. Sie können über einen Fernzugriff aus dem Internet ausgenutzt werden. Zusätzlich besitzen Exchange-Server standardmäßig in vielen Infrastrukturen hohe Rechte im Active Directory. Es ist denkbar, dass weitergehende Angriffe mit den Rechten eines übernommenen Exchange-Servers potentiell mit geringem Aufwand auch die gesamte Domäne kompromittieren können. Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden. Aufgrund der öffentlichen Verfügbarkeit von sogenannten Proof-of-Concept Exploit-Codes sowie starken weltweiten Scan-Aktivitäten sieht das BSI aktuell ein sehr hohes Angriffsrisiko.

Das BSI empfiehlt dringend das Einspielen der von Microsoft bereitgestellten Sicherheitsupdates. Anfällige Exchange-Systeme sollten aufgrund des sehr hohen Angriffsrisikos dringend auf entsprechende Auffälligkeiten geprüft werden. Das BSI Lagezentrum arbeitet 24/7. Betroffene Organisationen finden hier Informationen. Informationen zur Warnung finden Sie hier.

Erschwerend kommt aktuell hinzu, dass tausende Systeme noch Schwachstellen aufweisen, die seit über einem Jahr bekannt sind und noch nicht gepatched wurden. Insbesondere Kleine und Mittelständische Unternehmen (KMU) könnten hiervon betroffen sein. Neben dem Zugriff auf die E-Mail-Kommunikation der jeweiligen Unternehmen lässt sich von Angreifern über solche verwundbaren Server-Systeme oftmals auch der Zugriff auf das komplette Unternehmensnetzwerk erlangen.

Im Rahmen seines Engagements zur Erhöhung der IT-Sicherheit bei KMU hat sich das BSI daher heute in einem postalischen Schreiben direkt an die Geschäftsführungen derjenigen Unternehmen gewandt, deren Exchange-Server nach Kenntnis des BSI betroffen sind und darin Empfehlungen für Gegenmaßnahmen gegeben. Kontaktiert wurden mehr als 9.000 Unternehmen. Die tatsächliche Anzahl verwundbarer Systeme in Deutschland dürfte noch deutlich höher liegen.

Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

16 Antworten zu Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)

  1. Martin Feuerstein sagt:

    Gibt es schon Informationen, wie man erkennen kann, ob ein Server von der Schadsoftware befallen ist?

  2. Oliver L sagt:

    Verteilung siehe auch https://www.welivesecurity.com/2021/03/04/microsoft-fixes-four-exchange-server-zero-day-vulnerabilities/
    Zum Glück habe ich schon vor vielen Jahren alle Kunden nach Microsoft 365 und somit auch Exchange 365 umgezogen, der Aufwand für manuelles Patch Management ist einfach unnötig groß, und die Sicherheit und z. B. auch Spam-Abwehr in der Cloud deutlich besser, da noch ganz andere Erkennungsverfahren und KI zur Anwendung kommen, Angriffe zu erkennen.

  3. Frank Grote sagt:

    Ich habe mir die Angriffsweise noch nicht im Detail angesehen, vielleicht kann jemand eine Aussage dazu treffen:

    Wenn ein Citrix Netscaler vor OWA geschaltet ist, ist die eigentliche Verwundbarkeit doch erst nach Anmeldung am Netscaler erreichbar und exploitable, oder?

    • Stephan sagt:

      Wenn es nur als Filter davor ist, nicht. Wenn man beim Citrix erst anmelden muß, dann sollte das helfen. Dann können nur noch Leute mit Zugang zu Citrix den Angriff durchführen.

      • Frank sagt:

        Reicht aber nicht, wenn man Exchange hybrid eingerichtet hat. dann muss man EWS für "anonym" freimachen, da die Anmeldung über OATUH erfolgt.
        Die wenigsten Firmen filtern diese Freigabe auf die Exchange Datacenter IP-Systeme.
        und selbst dann ist das System auch von innen erreichbar.

        Patchen und Prüfen. Alles andere ist kein Schutz.
        Und wenn man Spuren eines Missbrauchs sieht, dann beginnt die Arbeit erst

  4. HV sagt:

    Mir erschließt sich nicht klar, ob Exchange 2003 & 2008 ebenfalls von der o.g. Lücke betroffen sind? Patche von MS gibt es keine für die beiden Modelle, was ja nicht bedeuten muß das diese nicht betroffen wären.

    • HV sagt:

      Danke schön.
      Hat sich erledigt, habe die Infos dazu eben bei MS gefunden:

      "Die Sicherheitsanfälligkeiten betreffen Microsoft Exchange Server. Exchange Online ist nicht betroffen.

      Folgende Versionen sind betroffen:

      Microsoft Exchange Server 2013
      Microsoft Exchange Server 2016
      Microsoft Exchange Server 2019
      Microsoft Exchange Server 2010 wird zu Zwecken der Tiefenverteidigung aktualisiert."

    • Frank Carius sagt:

      Microsoft wird keine Aussagen zu Exchange 2003/2007 machen, da diese Systeme definitiv aus dem Support sind und sich niemand mehr drum kümmert. Man könnte "vermuten", dass das Problem erst mit Exchange 2007 und .NET und 64bit und der ganz neuen Codebasis gekommen ist und damit Exchange 2003 vielleicht…. Aber alles Spekulation.
      Wer noch Ex2003/Ex2007 betreibt, sollte sich überlegen, was er sich da antut. Es gibt durchaus Lieferanten/Kunden, die von ihren Geschäftspartnern auch erwarten, dass Sie "auf dem Stand der Technik" sind. Versicherungen und Datenschützer sind da auch interessiert. Auch ein Geschäftsführer sollte mal seine Haftungsklauseln anschauen, wenn er so alte Systeme weiter betreibt

  5. bernd van straelen sagt:

    well spoken!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.