Sicherheitslücken bei Microsoft Exchange Servern – schnellstmöglich aktualisieren

Zwar stehen bereits seit mehreren Monaten Sicherheitsupdates bereit, mit denen sich kritische Sicherheitslücken (Details in der Sicherheitswarnung) in dem Groupware– und E-MailServer Exchange beheben lassen. Trotzdem sind nach wie vor viele ExchangeServer über Exchange Web Services öffentlich erreichbar und mehrere Tausend ExchangeServer anfällig für eine der Schwachstellen (CVE-2020-0688). Entsprechende Informationen des Unternehmens Rapid7 konnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) für Deutschland validieren.

„Wir stellen leider immer wieder fest, dass Anwenderinnen und Anwender vorhandene Sicherheitsupdates über Monate hinweg ignorieren und so unnötige, aber erhebliche Risiken eingehen. Besonders kritisch ist in diesem Fall, dass die Sicherheitslücken aus dem Internet heraus ausnutzbar sind und der zugehörige Angriffscode veröffentlicht bzw. bereits in bekannte Angriffswerkzeuge integriert wurde. Es ist somit höchste Zeit, auf betroffenen Systemen die vom Hersteller bereitgestellten Sicherheitsupdates einzuspielen. Das CERT-Bund im BSI benachrichtigt deutsche Netzbetreiber zu bekannten IP-Adressen verwundbarer Exchange-Server in ihren jeweiligen Netzen. Betroffene Anwenderinnen und Anwender sollten die entsprechenden Informationen der Provider ernst nehmen und handeln“, sagt BSI-Präsident Arne Schönbohm.

Am 11. Februar 2020 hat Microsoft Sicherheitsupdates für den ExchangeServer bereitstellt, welche eine kritische Schwachstelle (CVE-2020-0688) beheben. Ein entfernter Angreifer kann die Schwachstelle ausnutzen, um beliebigen Programmcode mit System-Rechten auszuführen und so das System komplett zu übernehmen. Exploit-Code zur Ausnutzung der Schwachstelle ist öffentlich verfügbar. Die Schwachstelle wird bereits aktiv für Angriffe genutzt.

ExchangeServer werden häufig administrativ eng in das Active Directory integriert. Damit werden Computer-Konten und Service-Accounts entgegen der Herstellerempfehlungen mit privilegierten Rechten – vergleichbar mit Domänen-Administratoren – versehen. Ein Angreifer kann über die Kompromittierung eines Exchange-Servers somit, je nach Systemumgebung, leicht in den Besitz von Domänen-Administrator-Credentials gelangen und damit das gesamte Active Directory kompromittieren. Das BSI empfiehlt zu prüfen, ob verwundbare Versionen eingesetzt werden und diese schnellstmöglich zu aktualisieren. Weiterhin ist zu prüfen, über welche Protokolle ExchangeServer über das Internet erreichbar sein müssen. Um das Risiko der Ausnutzung solcher Schwachstellen nachhaltig zu reduzieren, sollte die Erreichbarkeit auf unbedingt notwendige Protokolle und berechtigte Personen nach erfolgreicher Authentifizierung sowie über kryptografisch gesicherte Verbindungen beschränkt werden. Dies könnte z. B. durch den Einsatz eines VPNGateways erreicht werden. Weiterhin weist das BSI darauf hin, dass Exchange 2010 am 13. Oktober 2020 den End of Support (EoS) Status erreicht. Ab diesem Zeitpunkt werden keinerlei Sicherheitsupdates mehr zur Verfügung gestellt. Auch das EoS-Datum für Exchange 2013 ist seitens des Herstellers für den 11. April 2023 vorgesehen. Um sicher zu stellen, dass zukünftig Updates für kritische Sicherheitslücken angewendet werden können, sollten Exchange 2013 nutzende Organisationen zeitnah mit der Migrationsplanung beginnen.

Bundesamt für Sicherheit in der Informationstechnik
Letzte Artikel von Bundesamt für Sicherheit in der Informationstechnik (Alle anzeigen)