Tags: Exchange, Sicherheit, Malware, Schwachstellen
Angreifer nutzen aktuell die Schwachstellen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 massiv, um Daten aus Exchange abzugreifen, Webshells zu installieren oder sich im Netz festzusetzen. Microsoft publizierte eine Reihe von Tools und Maßnahmen, um diese Gefahr zu bannen.
Die Cyberkriminellen, hinter denen Microsoft ursprünglich die Hackergruppe HAFNIUM vermutet, kombinieren Angriffe auf alle erwähnten Schwachstellen, um Zugriff auf Exchange-Systeme zu erlangen.
So erlaubt ihnen CVE-2021-26855, beliebige HTTP-Anfragen an den Server zu schicken und sich als Exchange Server zu authentifizieren. Anschließend nutzen sie CVE-2021-26857, um Code im Kontext von SYSTEM auszuführen und die beiden anderen Lücken, um Dateien in Verzeichnisse des Servers zu schreiben. Dabei handelt es sich beispielsweise um eine Webshell, welche eine Remote-Steuerung des Servers ermöglicht.
Gefährdete Systeme
Nachweislich betroffen sind Exchange Server 2013 bis 2019, während Exchange 2010 nur für Attacken auf CVE-2021-26857 verwundbar ist. Besonderem Risiko sind solche Installationen ausgesetzt, die Outlook on the web (OWA) oder das Exchange Control Panel (ECP) über das Internet zugänglich machen.
Die Versionen 2003 und 2007 erhalten keinen Support mehr, dürften aber nicht gefährdet sein. Exchange Online weist keine der genannten Schwachstellen auf.
Patches für aktuelle und veraltete CUs
Microsoft hat letzte Woche außerhalb der Reihe Patches für Exchange 2013 bis 2016 veröffentlicht, um die gefährlichen Sicherheitslücken zu schließen. Sie erfordern CU23 für 2013, CU18 oder CU19 für 2016 und CU7 oder CU8 für 2019. Hinzu kommt ein Update für Exchange 2010 SP3.
Da einige Anwender noch ältere CUs der betroffenen Exchange-Versionen einsetzen, die keinen Support mehr genießen, schob Microsoft nun Security Updates für diese Systeme nach. Links zum Download Center finden sich im gleichen Support-Dokument wie für die ursprünglichen Updates, über Windows Update sind sie nicht verfügbar.
Die Installation muss aus einer Kommandozeile mit erhöhten Rechten erfolgen, ein Reboot ist zwingend notwendig, um den Schutz zu aktivieren. Falls diese Updates Probleme bereiten, dann finden sich auf dieser Seite allgemeine Tipps, wie man sie lösen kann. Notfalls lassen sie sich auch wieder deinstallieren.
Nur temporäre Lösung
Der Hersteller weist ausdrücklich darauf hin, dass diese Updates nur die genannten Schwachstellen schließen und diese CUs dadurch auch weiterhin keinen Support erhalten. Außerdem bieten die Patches nur vorübergehenden Schutz, weil nach dem Update auf ein aktuelles CU die Sicherheitslücken wieder vorhanden sind und durch die entsprechenden Patches beseitigt werden müssen.
Microsoft empfiehlt daher als bevorzugte Methode, die Server erst auf ein unterstütztes CU zu aktualisieren und anschließend die Security-Updates einzuspielen. Nur falls dies in der Kürze der Zeit nicht möglich ist, sollten Admins auf die Patches für die alten CUs zurückgreifen.
Abwehrmaßnahmen ohne Patches
Kommt auch diese Variante nicht in Frage, etwa weil die Updates die eingesetzte Version nicht unterstützen oder Probleme bereiten, dann nennt Microsoft eine Reihe von Maßnahmen, wie Admins ihre Exchange Server durch eine Änderung der Konfiguration schützen können.
Ein solches Vorgehen hat jedoch den gravierenden Nachteil, dass sie in der Regel Funktionen von Exchange abschalten. Dazu gehören etwa das Deaktivieren der Unified Messaging Services oder des ECP.
Ungeschützte Exchange Server erkennen
Unabhängig davon, welche Maßnahmen man ergriffen hat, sollte man verifizieren, dass die Exchange Server nicht mehr verwundbar sind.
Zu diesem Zweck bietet Microsoft ein nmap-Script an, das die Systeme auf CVE-2021-26855 prüft. Dies ist besonders dann praktisch, wenn man viele Server mit unterschiedlichen Release-Ständen einsetzt.
Erfolgte Angriffe erkennen
Microsoft legt Anwendern nahe, dem Patchen der Exchange-Server die größte Priorität einzuräumen. Nur wenn genügend Ressourcen zur Verfügung stehen, dann sollte man die Systeme gleichzeitig aktualisieren und auf Veränderungen zu untersuchen.
Um erfolgte Angriffe und deren Hinterlassenschaften zu entdecken, bietet Microsoft über GitHub ein PowerShell-Script an. Es untersucht Exchange Server auf vier Indikatoren einer HAFNIUM-Attacke. Indem man ihm den Output von Get-ExchangeServer über eine Pipe weiterleitet, kann man alle Server über einen Aufruf prüfen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Windows Defender schließt Exchange-Schwachstelle CVE-2021-26855 automatisch und räumt Folgen eines Angriffs auf
- Reparatur-Tool für Hafnium-Angriffe auf Exchange, sichere CUs für Exchange 2016/2019
- Spam- und Virenschutz in Office 365 konfigurieren
- Alte oder ungepatche Exchange-Server können künftig keine Mails an Microsoft 365 senden
- Patch für kritische Outlook-Schwachstelle, Security-Updates für Exchange
Weitere Links
1 Kommentar
Dachte MS hätte aus Solarwinds Debakel mehr gelernt!
Enttäuschend von den Redmonter, dass sie die Lücke die bereits Anfang Januar bekannt war, erst am 2.3. "zugeben". Dass sie dann erst gut eine Woche! später auf die Idee kommen, dass nicht alle Firmen (KMU!) den letzten CU installiert haben könnten und da noch Patches für die System nachliefern ebenso enttäuschend - hier zählt(e) jeder Tag um die virtuelle Seuche einzudämmern. Noch drei Hinweise:
1. MS hat das MSERT Tool aktualisiert und das kann auch Webshells entfernen! Das redet also nicht nur sondern handelt auch.
https://docs.microsoft.com/en-us/windows/security/threat-protection/inte...
2. Die MS PS Skripts sind gut und recht aber MS lässt den "kleinen" Admin mit den Befunden recht allein im Sinne was zu tun ist. Ex neu aufbauen und Postfächer moven, wenn das und das? Was wenn "nur" zwei Einträge im Httproxy.log. Es gibt Firmen die keine DAG haben und nur einen Exchange Server betreiben. Da kommt sicher noch eingiges an Tools und Hinweisen.
3. Nmap ist vermutlich im Win Umfeld nicht so geläufig. Kleine Anleitung wäre genial. Nmap wird ja vermutlich nicht direkt auf dem Exchange Server installiert.
Gruss DS