{"id":236375,"date":"2020-10-08T10:23:17","date_gmt":"2020-10-08T08:23:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=236375"},"modified":"2023-06-01T00:52:58","modified_gmt":"2023-05-31T22:52:58","slug":"bsi-warnung-im-okt-2020-noch-40-000-ungepatchte-exchange-server-in-betrieb","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/10\/08\/bsi-warnung-im-okt-2020-noch-40-000-ungepatchte-exchange-server-in-betrieb\/","title":{"rendered":"BSI-Warnung: Im Okt. 2020 noch 40.000 ungepatchte Exchange-Server in Betrieb"},"content":{"rendered":"

Ich hole das Thema nochmals hier im Blog hoch. Microsofts Exchange-Server erweisen sich als sicherheitstechnischer GAU. Fast 40.000 Installationen sind in Deutschland nicht auf dem aktuellen Update-Stand und damit eine tickende Zeitbombe. Das BSI hat jetzt eine deutliche Warnung herausgegeben. Erg\u00e4nzung:<\/strong> Ich habe Zahlen aus \u00d6sterreich nachgetragen.<\/p>\n

<\/p>\n

\"\"Zwar stehen bereits seit mehreren Monaten Sicherheitsupdates bereit, mit denen sich kritische Sicherheitsl\u00fccken in dem Groupware- und E-Mail-Server Exchange beheben lassen. Trotzdem sind nach wie vor viele ungepatchte Microsoft Exchange-Server \u00fcber Exchange Web Services \u00f6ffentlich erreichbar.<\/p>\n

Ich hatte das Thema bereits im Blog-Beitrag \u00dcber 247.000 ungepatchte Exchange Server \u00fcber CVE-2020-0688 angreifbar \u2013 Exchange 2010 erreicht EOL<\/a> aus globaler Sicht angesprochen. Ende September 2020 waren noch mehr als 247.000 Exchange Server angreifbar, weil die Sicherheitsupdates f\u00fcr eine bekannte Schwachstelle nicht installiert wurden (oder bei Version 2007 nicht verf\u00fcgbar sind). Nun hat das BSI die Situation aufgegriffen und auf Deutschland heruntergebrochen.<\/p>\n

Das BSI warnt Exchange-Betreiber<\/h2>\n

In Microsofts Exchange-Server ist seit 2018 eine kritische Schwachstelle (CVE-2020-0688) \u00f6ffentlich bekannt, f\u00fcr die dann im Februar 2020 durch Microsoft ein Sicherheitsupdate bereitgestellt wurde. Das BSI schreibt<\/a> nun, dass mehr als die H\u00e4lfte der Microsoft Exchange-Server in Deutschland, die mit offen erreichbarem Outlook Web Access betrieben und per Internet erreichbar sind, immer noch verwundbar sind.<\/p>\n

\"BSI-Warnung<\/a>
\n(BSI-Warnung zu Exchange-Server)<\/p>\n

Laut Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) sind in das ca. 40.000 Systeme, die nicht vor der kritischen Schwachstelle (CVE-2020-0688) gesch\u00fctzt sind. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat dazu die auch von mir die in meinem fr\u00fcheren Blog-Beitrag genutzten Informationen des Sicherheitsanbieters Rapid7 f\u00fcr Deutschland validiert.<\/p>\n

Erg\u00e4nzung: Zahlen aus \u00d6sterreich<\/h3>\n

Von CERT-Austria liegt dieser Bericht<\/a> vor, der die Situation bei verwundbaren Exchange-Servern in \u00d6sterreich beleuchtet. Hier die Zahlen:<\/p>\n\n\n\n\n\n\n\n\n\n
\u00a0Gesamt<\/td>\n6476<\/td>\n3108<\/td>\n47.99%<\/td>\n<\/tr>\n<\/tfoot>\n
Version<\/th>\nAnzahl<\/th>\nVerwundbar<\/th>\nAnteil verwundbar<\/th>\n<\/tr>\n<\/thead>\n
\u00a0Exchange Server 2013<\/td>\n1583<\/td>\n863<\/td>\n54.52%<\/td>\n<\/tr>\n
\u00a0Exchange Server 2016<\/td>\n3868<\/td>\n1993<\/td>\n51.53%<\/td>\n<\/tr>\n
\u00a0Exchange Server 2019<\/td>\n1025<\/td>\n252<\/td>\n24.59%<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Risiko: Integration in Active Directory<\/h2>\n

Die Erreichbarkeit der Exchange-Server per Exchange Web Services \u00fcber das Internet ist schon ein Problem, wenn bekannte Schwachstellen f\u00fcr einen Angriff ausgenutzt werden k\u00f6nnen. Das Ganze hat aber noch eine weitere Dimension. Laut BSI werden Microsofts Exchange-Server h\u00e4ufig administrativ eng in das Active Directory integriert. Damit werden Computer-Konten und Service-Accounts auf Exchange-Server, entgegen der Herstellerempfehlungen, mit privilegierten Rechten \u2013 vergleichbar mit Dom\u00e4nen-Administratoren \u2013 versehen. Ein Angreifer kann \u00fcber die Kompromittierung eines Exchange-Servers somit, je nach Systemumgebung, leicht in den Besitz von Dom\u00e4nen-Administrator-Credentials gelangen und damit das gesamte Active Directory kompromittieren. Hier wird also quasi Russisches Roulette gespielt, in der Hoffnung, dass es die eigene Infrastruktur nicht trifft.<\/p>\n

Warum gibt es die Patch-L\u00fccke?<\/h2>\n

An dieser Stelle stellt sich die Frage: 'Was l\u00e4uft falsch, dass ein vorhandenes Update nicht installiert wird?' BSI-Pr\u00e4sident Arne Sch\u00f6nbohm sagt dazu:<\/p>\n

Wir stellen leider immer wieder fest, dass Anwenderinnen und Anwender vorhandene Sicherheitsupdates \u00fcber Monate hinweg ignorieren und so unn\u00f6tige, aber erhebliche Risiken eingehen. Besonders kritisch ist in diesem Fall, dass die Sicherheitsl\u00fccken aus dem Internet heraus ausnutzbar sind und der zugeh\u00f6rige Angriffscode ver\u00f6ffentlicht bzw. bereits in bekannte Angriffswerkzeuge integriert wurde. Es ist somit h\u00f6chste Zeit, auf betroffenen Systemen die vom Hersteller bereitgestellten Sicherheitsupdates einzuspielen. Das CERT-Bund im BSI benachrichtigt deutsche Netzbetreiber zu bekannten IP-Adressen verwundbarer Exchange-Server in ihren jeweiligen Netzen. Betroffene Anwenderinnen und Anwender sollten die entsprechenden Informationen der Provider ernst nehmen und handeln.<\/p><\/blockquote>\n

Hier muss man aber etwas klar stellen: Anwender\/innen haben mit dem Patchen der Exchange-Server nichts zu tun. Dieser Ball liegt im Administratorbereich, denn diese sind f\u00fcr die Installation der erforderlichen Sicherheitupdates verantwortlich. Geht man diesem Pfad nach, er\u00f6ffnen sich zwei Problemstellen, die ein effektives Patchen von Exchange Server verhindern.<\/p>\n