{"id":260021,"date":"2021-12-01T00:05:00","date_gmt":"2021-11-30T23:05:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260021"},"modified":"2021-12-02T18:04:37","modified_gmt":"2021-12-02T17:04:37","slug":"cert-bund-warnung-30-der-deutschen-exchange-server-mit-offenem-owa-angreifbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/01\/cert-bund-warnung-30-der-deutschen-exchange-server-mit-offenem-owa-angreifbar\/","title":{"rendered":"CERT-Bund-Warnung: 30% der deutschen Exchange Server mit offenem OWA angreifbar"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/12\/01\/cert-bund-warnung-30-der-deutschen-exchange-server-mit-offenem-owa-angreifbar\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Es scheint ein Volkssport in Deutschland zu sein, dass Betreiber von Microsoft Exchange-Servern russisches Roulette spielen. Aber egal, wir haben den 1. Advent und ich \u00f6ffne mal ein T\u00fcrchen im Adventskalender mit der ersten Sicherheits\u00fcberraschung. Der CERT-Bund weist gerade in einer neuen Warnung auf ca. 12.000 Exchange Server 2013\/2016\/2019 hin, deren OWA per Internet erreichbar ist und die mindestens eine ungepatchte kritische Schwachstelle aufweisen. <strong>Erg\u00e4nzung:<\/strong> Die Sicherheitsl\u00fccken k\u00f6nnen auch auf Exchange-Servern, die einen aktuellen Patchstand melden, vorhanden sein.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/b3e826c6495a4ee1b4e6f47253faff6a\" alt=\"\" width=\"1\" height=\"1\" \/>Hunde, wollt ihr ewig mit ungepatchten Exchange Servern leben? Das abgewandelte Filmzitat ging mir durch den Kopf, als ich gestern den nachfolgenden <a href=\"https:\/\/twitter.com\/certbund\/status\/1465705906880991247\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> des CERT-Bund gesehen habe. CERT-Bund hat das Internet nach Exchange-Servern scannen lassen, deren Open Web Access-Schnittstelle (OWA) per Web erreichbar ist.<\/p>\n<p><a href=\"https:\/\/twitter.com\/certbund\/status\/1465705906880991247\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"CERT-Bund-Warnung Exchange-Schwachstellen\" src=\"https:\/\/i.imgur.com\/AO4H3sH.png\" alt=\"CERT-Bund-Warnung Exchange-Schwachstellen\" \/><\/a><\/p>\n<p>Von den dem CERT-Bund bekannten Exchange Server 2013, 2016 und 2019-Instanzen wurden ca. 12.000 gefunden, die mit veralteten CUs gepatcht sind. F\u00fcr diesen veralteten kumulativen Update-Stand bietet Microsoft keine Sicherheitsupdates mehr an (die Sicherheitsupdates werden immer nur f\u00fcr die zwei letzten CUs bereitgestellt). Die Exchange-Server-Instanzen sind also f\u00fcr folgende Microsoft Exchange Server Remote Code Execution-Sicherheitsl\u00fccken anf\u00e4llig:<\/p>\n<ul>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-42321\" target=\"_blank\" rel=\"noopener\">CVE-2021-42321<\/a>: gepatcht 9. November 2021 (siehe <a href=\"https:\/\/borncity.com\/blog\/2021\/11\/10\/exchange-server-november-2021-sicherheitsupdates-schlieen-rce-schwachstelle-cve-2021-423\/\">Exchange Server November 2021 Sicherheitsupdates schlie\u00dfen RCE-Schwachstelle CVE-2021-42321<\/a>)<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26427\" target=\"_blank\" rel=\"noopener\">CVE-2021-26427<\/a>: gepatcht 12. Oktober 2021 (siehe <a href=\"https:\/\/borncity.com\/blog\/2021\/10\/13\/sicherheitsupdates-fr-exchange-server-oktober-2021\/\">Sicherheitsupdates f\u00fcr Exchange Server (Oktober 2021)<\/a>)<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-34473\" target=\"_blank\" rel=\"noopener\">CVE-2021-34473<\/a>: gepatcht 13. Juli 2021, Proxy Shell-Schwachstelle (siehe <a href=\"https:\/\/borncity.com\/blog\/2021\/08\/10\/exchange-server-neues-zu-den-proxyshell-schwachstellen\/\">Exchange Server: Neues zu den ProxyShell-Schwachstellen<\/a>)<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26855\" target=\"_blank\" rel=\"noopener\">CVE-2021-26855<\/a>: gepatcht 16. M\u00e4rz 2021, Proxy Shell-Schwachstelle (siehe <a href=\"https:\/\/borncity.com\/blog\/2021\/11\/23\/warnung-proxyshell-squirrelwaffle-und-ein-poc-eploit-patcht-endlich-eure-exchange-server\/\">Warnung: ProxyShell, Squirrelwaffle und ein PoC-Exploit, patcht endlich eure Exchange-Server<\/a>)<\/li>\n<\/ul>\n<p>Die Schwachstellen werden l\u00e4ngst von Angreifern ausgenutzt. Im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/11\/19\/proxynoshell-mandiant-warnt-vor-neuen-angriffsmethoden-auf-exchange-server-nov-2021\/\">ProxyNoShell: Mandiant warnt vor neuen Angriffsmethoden auf Exchange-Server (Nov. 2021)<\/a> hatte ich beispielsweise konkret vor Angriffen auf die Proxy Shell-Schwachstellen gewarnt. Und es gibt auch Ransomwaregruppen, die die Schwachstellen ausnutzen, siehe <a href=\"https:\/\/borncity.com\/blog\/2021\/11\/06\/babuk-gang-nutzt-proxyshell-schwachstelle-in-exchange-fr-ransomware-angriffe\/\">Babuk-Gang nutzt ProxyShell-Schwachstelle in Exchange f\u00fcr Ransomware-Angriffe<\/a>. Ich wei\u00df, die Exchange-Administratoren unter den Lesern haben das alles l\u00e4ngst gepatcht &#8211; aber vielleicht findet die Botschaft doch noch eine versprengte Administratoren-Seele, die doch noch einen angreifbaren Exchange Server auftreibt.<\/p>\n<h2>Exchange mit aktuellem Patchstand angreifbar<\/h2>\n<p><strong>Erg\u00e4nzung:<\/strong> Die Sicherheitsl\u00fccken k\u00f6nnen auch auf Exchange-Servern mit aktuellem Patchstand vorhanden sein. Das hei\u00dft, das letzte CU sowie die aktuellen Sicherheitsupdates von November 2021 sind installiert, und trotzdem klaffen die oben erw\u00e4hnten Schwachstellen &#8211; obwohl der Exchange Server einen aktuellen Patchstand anzeigt. Darauf weisen die Kollegen von heise Security in <a href=\"https:\/\/www.heise.de\/news\/Jetzt-patchen-CERT-Bund-stoesst-abermals-auf-tausende-angreifbare-Exchange-Server-6280957.html\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> hin.<\/p>\n<p>Ein Mitarbeiter von CERT-Bund hatte heise direkt darauf hingewiesen. Die Ursache f\u00fcr diese Diskrepanz ist zur Zeit unklar. M\u00f6glicherweise gab es Berechtigungsprobleme, als die Sicherheitsupdates zum Schlie\u00dfen der Schwachstellen (ohne Administratorberechtigungen, z.B. per Doppelklick) installiert wurden, so dass die Patches nicht vollst\u00e4ndig auf den Exchange Server kamen.<\/p>\n<p>Insgesamt geht das CERT-Bund, so heise, von einer hohen Dunkelziffer von nicht vollst\u00e4ndig gepatchten und somit verwundbaren Servern aus.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2021\/03\/03\/exchange-server-0-day-exploits-werden-aktiv-ausgenutzt-patchen\/\">Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/06\/wichtige-hinweise-microsofts-und-des-bsi-zum-exchange-server-sicherheitsupdate-mrz-2021\/\">Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/05\/exchange-probleme-mit-ecp-nach-sicherheitsupdate-mrz-2021\/\">Exchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/08\/microsoft-msert-hilft-bei-exchange-server-scans\/\">Microsoft MSERT hilft bei Exchange-Server-Scans<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/09\/exchange-hack-neue-patches-und-neue-erkenntnisse\/\">Exchange-Hack: Neue Patches und neue Erkenntnisse<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/11\/anatomie-des-proxylogon-hafinum-exchange-server-hacks\/\">Anatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/11\/exchange-hack-neue-opfer-neue-patches-neue-angriffe\/\">Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/12\/neues-zur-proxylogon-hafnium-exchange-problematik-12-3-2021\/\">Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/13\/gab-es-beim-exchange-massenhack-ein-leck-bei-microsoft\/\">Gab es beim Exchange-Massenhack ein Leck bei Microsoft?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/13\/proxylogon-hack-repository-fr-betroffene-exchange-administratoren\/\">ProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/16\/microsoft-exchange-on-premises-one-click-mitigation-tool-eomt-freigegeben\/\">Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/17\/exchange-server-2013-sicherheitsupdate-fr-service-pack-1\/\">Sicherheitsupdate f\u00fcr Exchange Server 2013 Service Pack 1 \u2013 Neue CUs f\u00fcr Exchange 2019 und 2016 (16.3.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/19\/microsoft-defender-schliet-automatisch-cve-2021-26855-auf-exchange-server\/\">Microsoft Defender schlie\u00dft automatisch CVE-2021-26855 auf Exchange Server<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/25\/exchange-proxylogon-news-patch-stand-neue-ransomware-etc-25-3-2021\/\">Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/01\/exchange-hack-wie-schaut-es-mit-dem-risiko-aus-was-gibt-es-neues-1-april-2021\/\">Neues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/09\/vorwarnung-0-day-schwachstellen-ist-das-nchste-exchange-drama-im-anrollen\/\">Vorwarnung: 0-Day-Schwachstellen, ist das n\u00e4chste Exchange-Drama im Anrollen?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/14\/sicherheitsupdates-fr-exchange-server-juli-2021\/\">Sicherheitsupdates f\u00fcr Exchange Server (Juli 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/06\/29\/kumulative-exchange-updates-juni-2021-verffentlicht\/\">Kumulative Exchange Updates Juni 2021 ver\u00f6ffentlicht<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/14\/exchange-server-security-update-kb5001779-13-april-2021\/\">Exchange Server Security Update KB5001779 (13. April 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/07\/exchange-schwachstellen-droht-hafnium-ii\/\">Exchange-Schwachstellen: Droht Hafnium II?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/10\/exchange-server-neues-zu-den-proxyshell-schwachstellen\/\">Exchange Server: Neues zu den ProxyShell-Schwachstellen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/13\/angriffe-auf-exchange-server-per-proxyshell-schwachstelle-rollen-an-13-8-2021\/\">Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/22\/angriffswelle-fast-2-000-exchange-server-ber-proxyshell-gehackt\/\">Angriffswelle, fast 2.000 Exchange-Server \u00fcber ProxyShell gehackt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/25\/proxyshell-proxylogon-und-microsofts-exchange-doku-fr-ausnahmen-vom-virenschutz\/\">ProxyShell, ProxyLogon und Microsofts Exchange-Doku f\u00fcr Ausnahmen vom Virenschutz<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/26\/exchange-und-proxyshell-neues-von-microsoft-und-sicherheitsspezialisten\/\">Exchange und ProxyShell: Neues von Microsoft und Sicherheitsspezialisten<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/10\/17\/tifanu-cup-2021-exchange-2019-und-iphone-gehackt\/\">Tianfu Cup 2021: Exchange 2019 und iPhone gehackt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/06\/babuk-gang-nutzt-proxyshell-schwachstelle-in-exchange-fr-ransomware-angriffe\/\">Babuk-Gang nutzt ProxyShell-Schwachstelle in Exchange f\u00fcr Ransomware-Angriffe<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/10\/exchange-server-november-2021-sicherheitsupdates-schlieen-rce-schwachstelle-cve-2021-423\/\">Exchange Server November 2021 Sicherheitsupdates schlie\u00dfen RCE-Schwachstelle CVE-2021-423<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/12\/bsi-cert-warnung-kompromittierte-exchange-server-werden-fr-e-mail-angriffe-missbraucht-nov-2021\/\">BSI\/CERT-Warnung: Kompromittierte Exchange-Server werden f\u00fcr E-Mail-Angriffe missbraucht (Nov. 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/18\/warnung-cert-bund-usa-gb-vor-angriffen-auf-exchange-und-fortinet\/\">Warnung (CERT-Bund, USA, GB) vor Angriffen auf Exchange und Fortinet<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/19\/proxynoshell-mandiant-warnt-vor-neuen-angriffsmethoden-auf-exchange-server-nov-2021\/\">ProxyNoShell: Mandiant warnt vor neuen Angriffsmethoden auf Exchange-Server (Nov. 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/23\/warnung-proxyshell-squirrelwaffle-und-ein-poc-eploit-patcht-endlich-eure-exchange-server\/\">Warnung: ProxyShell, Squirrelwaffle und ein PoC-Exploit, patcht endlich eure Exchange-Server<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Es scheint ein Volkssport in Deutschland zu sein, dass Betreiber von Microsoft Exchange-Servern russisches Roulette spielen. Aber egal, wir haben den 1. Advent und ich \u00f6ffne mal ein T\u00fcrchen im Adventskalender mit der ersten Sicherheits\u00fcberraschung. Der CERT-Bund weist gerade in &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/01\/cert-bund-warnung-30-der-deutschen-exchange-server-mit-offenem-owa-angreifbar\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5359,4328],"class_list":["post-260021","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260021","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=260021"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260021\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=260021"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=260021"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=260021"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}