{"id":250756,"date":"2021-03-06T00:01:00","date_gmt":"2021-03-05T23:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=250756"},"modified":"2021-03-13T17:33:44","modified_gmt":"2021-03-13T16:33:44","slug":"wichtige-hinweise-microsofts-und-des-bsi-zum-exchange-server-sicherheitsupdate-mrz-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/03\/06\/wichtige-hinweise-microsofts-und-des-bsi-zum-exchange-server-sicherheitsupdate-mrz-2021\/","title":{"rendered":"Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)"},"content":{"rendered":"

\"Windows[English<\/a>]Noch ein kleiner \u00dcbersichtsbeitrag f\u00fcr Administratoren von Microsoft Exchange Servern, die dringend durch kumulative Updates vom M\u00e4rz 2021 gepatcht werden m\u00fcssen. Microsoft weist darauf hin, dass die Installation mit administrativen Berechtigungen erfolgen muss, da der Patch andernfalls die Schwachstellen nicht schlie\u00dft. Zudem warnt das BSI, dass tausende Exchange Server per Internet erreichbar und wohl schon infiziert sind.<\/p>\n

<\/p>\n

Microsofts Hinweise zur Update-Installation<\/h2>\n

\"\"In den Microsoft On-Premise Exchange-Server Versionen 2010 bis 2019 gibt es die vier Schwachstellen CVE-2021-26855<\/a>, CVE-2021-26857<\/a>, CVE-2021-26858<\/a> und CVE-2021-27065<\/a>, die von der mutma\u00dflich staatsnahen chinesischen Hacker-Gruppe HAFNIUM f\u00fcr gezielte Angriffe ausgenutzt werden. Die Schwachstellen erm\u00f6glichen eine Remote Code Execution (RCE) und die \u00dcbernahme des Exchange-Servers oder das Abziehen von Informationen.<\/p>\n

Microsoft hat f\u00fcr die On-Premise-Varianten von Exchange-Server (2010 bis 2019) zum 2. M\u00e4rz Sicherheitsupdates freigegeben, um diese Schwachstellen zu schlie\u00dfen. Ich hatte im Blog-Beitrag Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a> auf diesen Sachverhalt hingewiesen. Allerdings gibt es im Zusammenhang mit der Update-Installation ggf. Probleme, wenn der Patch nicht mit Administratorenrechten installiert wird. Blog-Leser SeaStorm weist in diesem Kommentar<\/a> zum Artikel Exchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a> auf diesen Sachverhalt hin.<\/p>\n

Microsoft hat den Supportbeitrag<\/a> mit einer Warnung versehen, dass die manuelle Installation des Updates per Doppelklick schief gehen k\u00f6nne, wenn keine administrativen Berechtigungen erteilt werden.<\/p>\n

Known issues in this update<\/p>\n

When you try to manually install this security update by double-clicking the update file (.msp) to run it in normal mode (that is, not as an administrator), some files are not correctly updated.<\/p>\n

When this issue occurs, you don't receive an error message or any indication that the security update was not correctly installed. However, Outlook on the web and the Exchange Control Panel (ECP) might stop working.<\/p>\n

This issue occurs on servers that are using User Account Control (UAC). The issue occurs because the security update doesn't correctly stop certain Exchange-related services.<\/p><\/blockquote>\n

Es tritt genau das im Beitrag Exchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a> Fehlerbild auf, wenn das Update manuell per Doppelklick installiert wird und die Benutzerkontensteuerung auf dem Exchange Server aktiviert ist. Dann kann das Update bei der Installation bestimmte Exchange-Dienste nicht stoppen und die Installation geht schief. Abhilfe schafft, eine administrative Eingabeaufforderung \u00fcber Als Administrator ausf\u00fchren <\/em>zu starten und dann die .msu-Installationsdatei des Updates mit voller Pfadangabe zu starten. Bleeping Computer hat das Ganze in diesem Beitrag<\/a> ebenfalls thematisiert.<\/p>\n

BSI-Warnung vor ungepatchten Systemen<\/h2>\n

Das BSI warnt in nachfolgendem Tweet<\/a> vor ungepatchten Exchange Servern, die per Internet erreichbar seien. Betroffen seien laut der Suchmaschine Shodan Zehntausende Systeme.<\/p>\n

\"BSI-Warnung<\/a><\/p>\n

Hier der Text der BSI-Warnung:<\/p>\n

Zehntausende Exchange-Server in Deutschland sind nach Informationen des IT-Dienstleisters Shodan \u00fcber das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Betroffen sind Organisationen jeder Gr\u00f6\u00dfe. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat begonnen, potentiell Betroffene zu informieren. Es empfiehlt allen Betreibern von betroffenen Exchange-Servern, sofort die von Microsoft bereitgestellten Patches einzuspielen.<\/p>\n

In der Nacht auf Mittwoch, den 3. M\u00e4rz 2021, hat Microsoft kurzfristig neue Sicherheitsupdates f\u00fcr das Produkt \u201eExchange-Server\" ver\u00f6ffentlicht, mit dem vier Schwachstellen geschlossen werden. Diese werden derzeit aktiv von einer Angreifergruppe ausgenutzt. Sie k\u00f6nnen \u00fcber einen Fernzugriff aus dem Internet ausgenutzt werden. Zus\u00e4tzlich besitzen Exchange-Server standardm\u00e4\u00dfig in vielen Infrastrukturen hohe Rechte im Active Directory. Es ist denkbar, dass weitergehende Angriffe mit den Rechten eines \u00fcbernommenen Exchange-Servers potentiell mit geringem Aufwand auch die gesamte Dom\u00e4ne kompromittieren k\u00f6nnen. Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden. Aufgrund der \u00f6ffentlichen Verf\u00fcgbarkeit von sogenannten Proof-of-Concept Exploit-Codes sowie starken weltweiten Scan-Aktivit\u00e4ten sieht das BSI aktuell ein sehr hohes Angriffsrisiko.<\/p>\n

Das BSI empfiehlt dringend das Einspielen der von Microsoft bereitgestellten Sicherheitsupdates. Anf\u00e4llige Exchange-Systeme sollten aufgrund des sehr hohen Angriffsrisikos dringend auf entsprechende Auff\u00e4lligkeiten gepr\u00fcft werden. Das BSI Lagezentrum arbeitet 24\/7. Betroffene Organisationen finden hier Informationen. Informationen zur Warnung finden Sie hier.<\/p>\n

Erschwerend kommt aktuell hinzu, dass tausende Systeme noch Schwachstellen aufweisen, die seit \u00fcber einem Jahr bekannt sind und noch nicht gepatched wurden. Insbesondere Kleine und Mittelst\u00e4ndische Unternehmen (KMU) k\u00f6nnten hiervon betroffen sein. Neben dem Zugriff auf die E-Mail-Kommunikation der jeweiligen Unternehmen l\u00e4sst sich von Angreifern \u00fcber solche verwundbaren Server-Systeme oftmals auch der Zugriff auf das komplette Unternehmensnetzwerk erlangen.<\/p>\n

Im Rahmen seines Engagements zur Erh\u00f6hung der IT-Sicherheit bei KMU hat sich das BSI daher heute in einem postalischen Schreiben direkt an die Gesch\u00e4ftsf\u00fchrungen derjenigen Unternehmen gewandt, deren Exchange-Server nach Kenntnis des BSI betroffen sind und darin Empfehlungen f\u00fcr Gegenma\u00dfnahmen gegeben. Kontaktiert wurden mehr als 9.000 Unternehmen. Die tats\u00e4chliche Anzahl verwundbarer Systeme in Deutschland d\u00fcrfte noch deutlich h\u00f6her liegen.<\/p><\/blockquote>\n

\u00c4hnliche Artikel:<\/strong>
\nExchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a>
\nWichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nExchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nNeues zum Exchange-Hack \u2013 Testtools von Microsoft & Co.<\/a>
\nMicrosoft MSERT hilft bei Exchange-Server-Scans<\/a>
\nExchange-Hack: Neue Patches und neue Erkenntnisse<\/a>
\nAnatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a>
\nExchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a>
\nNeues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)<\/a>
\nGab es beim Exchange-Massenhack ein Leck bei Microsoft?<\/a>
\nProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Noch ein kleiner \u00dcbersichtsbeitrag f\u00fcr Administratoren von Microsoft Exchange Servern, die dringend durch kumulative Updates vom M\u00e4rz 2021 gepatcht werden m\u00fcssen. Microsoft weist darauf hin, dass die Installation mit administrativen Berechtigungen erfolgen muss, da der Patch andernfalls die Schwachstellen nicht … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,185],"tags":[5359,4328,4315],"class_list":["post-250756","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-update","tag-exchange","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/250756","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=250756"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/250756\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=250756"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=250756"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=250756"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}