{"id":237756,"date":"2020-11-18T00:10:00","date_gmt":"2020-11-17T23:10:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=237756"},"modified":"2021-12-10T10:05:28","modified_gmt":"2021-12-10T09:05:28","slug":"weiter-ungepatchte-exchange-server-in-deutschland-nov-2020","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/11\/18\/weiter-ungepatchte-exchange-server-in-deutschland-nov-2020\/","title":{"rendered":"Weiter ungepatchte Exchange-Server in Deutschland (Nov. 2020)"},"content":{"rendered":"

[English<\/a>]Kurzer Hinweis an Administratoren von Microsoft Exchange-Servern: Habt ihr diese gegen die Remote Execution-Schwachstelle CVE-2020-0688\u00a0 gepatcht? CERT-Bund warnt seit Wochen, dass zahlreiche deutsche Exchange-Server mit der Schwachstelle per Internet erreichbar sind.<\/p>\n

<\/p>\n

Warnung von CERT-Bund vor CVE-2020-0688<\/h2>\n

\"\"Ich sehe auf Twitter praktisch alle paar Tage eine Meldung von CERT-Bund, in der sich \u00fcber ungepatchte Exchange-Server in Deutschland beklagt wird. Hier die Tweets<\/a>. Vor 6 Wochen wurde von CERT-Bund eine Kampagne gestartet, bei der t\u00e4gliche Reports an deutsche Netzbetreiber\/Provider gingen. Dar\u00fcber wurden diese \u00fcber verwundbare Microsoft Exchange-Server informiert, die per Internet erreichbar waren und die kritische Schwachstelle CVE-2020-0688 aufwiesen.<\/p>\n

\"CERT-Bund-Warnung
\nCERT-Bund-Warnung vor Exchange-Schwachstelle CVE-2020-0688<\/p>\n

Auch sechs Wochen sp\u00e4ter ist \u00fcber die H\u00e4lfte dieser per Internet erreichbaren Exchange-Server ungepatcht. Unter anderem f\u00e4llt die Masse der Exchange 2010-Installationen auf. Diese Version ist im Oktober 2020 aus dem Support gefallen. In einem weiteren Tweet (untere Grafik) zeigt CERT-Bund die Verteilung \u00fcber einzelne Provider. Das l\u00e4sst vermuten, dass einige Provider ihre Kunden informieren, w\u00e4hrend andere Provider die CERT-Bund-Meldungen versickern lassen.<\/p>\n

Hintergrund zur Schwachstelle CVE-2020-0688<\/h2>\n

\"\"Ich hatte bereits 2018 im Blog-Beitrag Sicherheitsl\u00fccke in Exchange Server 2010-2019<\/a> auf das Problem hingewiesen. In Exchange existiert von Version 2010 bis 2019 eine Sicherheitsl\u00fccke CVE-2020-0688. Seit Januar 2020 ist ein Exploit f\u00fcr diese Schwachstelle bekannt, und seit dem 11. Februar 2020 gibt es Updates zum Schlie\u00dfen der Sicherheitsl\u00fccke.<\/p>\n

Bei der Schwachstelle CVE-2020-0688 handelt es sich um eine Microsoft Exchange Validation Key Remote Code Execution-Sicherheitsl\u00fccke, die in diesem Microsoft-Dokument<\/a> vom 11. Februar 2020 beschrieben ist. Die Schwachstelle, die zu einer Remotecodeausf\u00fchrung ausgenutzt werden kann, besteht in Microsoft Exchange Server, wenn der Server bei der Installation nicht in der Lage ist, eindeutige (Cryptographische) Schl\u00fcssel zu erstellen.<\/p>\n

Die Kenntnis eines Validierungsschl\u00fcssels erm\u00f6glicht es einem authentifizierten Benutzer mit einem Postfach, beliebige Objekte zu \u00fcbergeben, die von der Webanwendung, die als SYSTEM l\u00e4uft, deserialisiert werden sollen. Simon Zuckerbraun von der Zero Day Initiative hat zum 25. Februar 2020 diesen Blog-Beitrag<\/a> mit einigen Erl\u00e4uterungen ver\u00f6ffentlicht. Auch von Tenable gibt es diesen Beitrag<\/a> zum Thema. Hier sind die verf\u00fcgbaren und als wichtig klassifizierten Updates:<\/p>\n