Kritische Exchange-Schwachstellen: Patches für alte CUs, vorläufige Schutzmaßnahmen, Tool zum Erkennen erfolgreicher Angriffe

    , 09.03.2021, zuletzt aktualisiert am 22.07.2021
    Tags: , , ,

    Logo für ExchangeAngreifer nutzen aktuell die Schwach­stellen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 massiv, um Daten aus Exchange abzu­greifen, Webshells zu instal­lieren oder sich im Netz fest­zusetzen. Microsoft pub­lizierte eine Reihe von Tools und Maß­nahmen, um diese Gefahr zu bannen.

    Die Cyberkriminellen, hinter denen Microsoft ursprünglich die Hackergruppe HAFNIUM vermutet, kombinieren Angriffe auf alle erwähnten Schwachstellen, um Zugriff auf Exchange-Systeme zu erlangen.

    So erlaubt ihnen CVE-2021-26855, beliebige HTTP-Anfragen an den Server zu schicken und sich als Exchange Server zu authentifizieren. Anschließend nutzen sie CVE-2021-26857, um Code im Kontext von SYSTEM auszuführen und die beiden anderen Lücken, um Dateien in Verzeichnisse des Servers zu schreiben. Dabei handelt es sich beispielsweise um eine Webshell, welche eine Remote-Steuerung des Servers ermöglicht.

    Gefährdete Systeme

    Nachweislich betroffen sind Exchange Server 2013 bis 2019, während Exchange 2010 nur für Attacken auf CVE-2021-26857 verwundbar ist. Besonderem Risiko sind solche Installationen ausgesetzt, die Outlook on the web (OWA) oder das Exchange Control Panel (ECP) über das Internet zugänglich machen.

    Die Versionen 2003 und 2007 erhalten keinen Support mehr, dürften aber nicht gefährdet sein. Exchange Online weist keine der genannten Schwachstellen auf.

    Patches für aktuelle und veraltete CUs

    Microsoft hat letzte Woche außerhalb der Reihe Patches für Exchange 2013 bis 2016 veröffentlicht, um die gefährlichen Sicherheits­lücken zu schließen. Sie erfordern CU23 für 2013, CU18 oder CU19 für 2016 und CU7 oder CU8 für 2019. Hinzu kommt ein Update für Exchange 2010 SP3.

    Da einige Anwender noch ältere CUs der betroffenen Exchange-Versionen einsetzen, die keinen Support mehr genießen, schob Microsoft nun Security Updates für diese Systeme nach. Links zum Download Center finden sich im gleichen Support-Dokument wie für die ursprünglichen Updates, über Windows Update sind sie nicht verfügbar.

    Die Installation muss aus einer Kommandozeile mit erhöhten Rechten erfolgen, ein Reboot ist zwingend notwendig, um den Schutz zu aktivieren. Falls diese Updates Probleme bereiten, dann finden sich auf dieser Seite allgemeine Tipps, wie man sie lösen kann. Notfalls lassen sie sich auch wieder deinstallieren.

    Nur temporäre Lösung

    Der Hersteller weist ausdrücklich darauf hin, dass diese Updates nur die genannten Schwachstellen schließen und diese CUs dadurch auch weiterhin keinen Support erhalten. Außerdem bieten die Patches nur vorübergehenden Schutz, weil nach dem Update auf ein aktuelles CU die Sicherheits­lücken wieder vorhanden sind und durch die entsprechenden Patches beseitigt werden müssen.

    Empfohlenes Vorgehen je nach Release, um Exchange gegen Angriffe auf die vier Schwachstellen zu schützen

    Microsoft empfiehlt daher als bevorzugte Methode, die Server erst auf ein unterstütztes CU zu aktualisieren und anschließend die Security-Updates einzuspielen. Nur falls dies in der Kürze der Zeit nicht möglich ist, sollten Admins auf die Patches für die alten CUs zurückgreifen.

    Abwehrmaßnahmen ohne Patches

    Kommt auch diese Variante nicht in Frage, etwa weil die Updates die eingesetzte Version nicht unterstützen oder Probleme bereiten, dann nennt Microsoft eine Reihe von Maßnahmen, wie Admins ihre Exchange Server durch eine Änderung der Konfiguration schützen können.

    Ein solches Vorgehen hat jedoch den gravierenden Nachteil, dass sie in der Regel Funktionen von Exchange abschalten. Dazu gehören etwa das Deaktivieren der Unified Messaging Services oder des ECP.

    Ungeschützte Exchange Server erkennen

    Unabhängig davon, welche Maßnahmen man ergriffen hat, sollte man verifizieren, dass die Exchange Server nicht mehr verwundbar sind.

    Zu diesem Zweck bietet Microsoft ein nmap-Script an, das die Systeme auf CVE-2021-26855 prüft. Dies ist besonders dann praktisch, wenn man viele Server mit unterschiedlichen Release-Ständen einsetzt.

    Erfolgte Angriffe erkennen

    Microsoft legt Anwendern nahe, dem Patchen der Exchange-Server die größte Priorität einzuräumen. Nur wenn genügend Ressourcen zur Verfügung stehen, dann sollte man die Systeme gleichzeitig aktualisieren und auf Veränderungen zu untersuchen.

    Um erfolgte Angriffe und deren Hinter­lassenschaften zu entdecken, bietet Microsoft über GitHub ein PowerShell-Script an. Es untersucht Exchange Server auf vier Indikatoren einer HAFNIUM-Attacke. Indem man ihm den Output von Get-ExchangeServer über eine Pipe weiterleitet, kann man alle Server über einen Aufruf prüfen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links

    1 Kommentar

    Stefano (Besucher) sagt:
    9. März 2021 - 20:58

    Dachte MS hätte aus Solarwinds Debakel mehr gelernt!
    Enttäuschend von den Redmonter, dass sie die Lücke die bereits Anfang Januar bekannt war, erst am 2.3. "zugeben". Dass sie dann erst gut eine Woche! später auf die Idee kommen, dass nicht alle Firmen (KMU!) den letzten CU installiert haben könnten und da noch Patches für die System nachliefern ebenso enttäuschend - hier zählt(e) jeder Tag um die virtuelle Seuche einzudämmern. Noch drei Hinweise:
    1. MS hat das MSERT Tool aktualisiert und das kann auch Webshells entfernen! Das redet also nicht nur sondern handelt auch.
    https://docs.microsoft.com/en-us/windows/security/threat-protection/inte...
    2. Die MS PS Skripts sind gut und recht aber MS lässt den "kleinen" Admin mit den Befunden recht allein im Sinne was zu tun ist. Ex neu aufbauen und Postfächer moven, wenn das und das? Was wenn "nur" zwei Einträge im Httproxy.log. Es gibt Firmen die keine DAG haben und nur einen Exchange Server betreiben. Da kommt sicher noch eingiges an Tools und Hinweisen.
    3. Nmap ist vermutlich im Win Umfeld nicht so geläufig. Kleine Anleitung wäre genial. Nmap wird ja vermutlich nicht direkt auf dem Exchange Server installiert.
    Gruss DS