Kritische Exchange-Schwachstellen: Patches für alte CUs, vorläufige Schutzmaßnahmen, Tool zum Erkennen erfolgreicher Angriffe

So erlaubt ihnen CVE-2021-26855, beliebige HTTP-Anfragen an den Server zu schicken und sich als Exchange Server zu authentifizieren. Anschließend nutzen sie CVE-2021-26857, um Code im Kontext von SYSTEM auszuführen und die beiden anderen Lücken, um Dateien in Verzeichnisse des Servers zu schreiben. Dabei handelt es sich beispielsweise um eine Webshell, welche eine Remote-Steuerung des Servers ermöglicht.

Gefährdete Systeme

Nachweislich betroffen sind Exchange Server 2013 bis 2019, während Exchange 2010 nur für Attacken auf CVE-2021-26857 verwundbar ist. Besonderem Risiko sind solche Installationen ausgesetzt, die Outlook on the web (OWA) oder das Exchange Control Panel (ECP) über das Internet zugänglich machen.

Die Versionen 2003 und 2007 erhalten keinen Support mehr, dürften aber nicht gefährdet sein. Exchange Online weist keine der genannten Schwachstellen auf.

Patches für aktuelle und veraltete CUs

Microsoft hat letzte Woche außerhalb der Reihe Patches für Exchange 2013 bis 2016 veröffentlicht, um die gefährlichen Sicherheits­lücken zu schließen. Sie erfordern CU23 für 2013, CU18 oder CU19 für 2016 und CU7 oder CU8 für 2019. Hinzu kommt ein Update für Exchange 2010 SP3.

Da einige Anwender noch ältere CUs der betroffenen Exchange-Versionen einsetzen, die keinen Support mehr genießen, schob Microsoft nun Security Updates für diese Systeme nach. Links zum Download Center finden sich im gleichen Support-Dokument wie für die ursprünglichen Updates, über Windows Update sind sie nicht verfügbar.

Die Installation muss aus einer Kommandozeile mit erhöhten Rechten erfolgen, ein Reboot ist zwingend notwendig, um den Schutz zu aktivieren. Falls diese Updates Probleme bereiten, dann finden sich auf dieser Seite allgemeine Tipps, wie man sie lösen kann. Notfalls lassen sie sich auch wieder deinstallieren.

Nur temporäre Lösung

Der Hersteller weist ausdrücklich darauf hin, dass diese Updates nur die genannten Schwachstellen schließen und diese CUs dadurch auch weiterhin keinen Support erhalten. Außerdem bieten die Patches nur vorübergehenden Schutz, weil nach dem Update auf ein aktuelles CU die Sicherheits­lücken wieder vorhanden sind und durch die entsprechenden Patches beseitigt werden müssen.

Microsoft empfiehlt daher als bevorzugte Methode, die Server erst auf ein unterstütztes CU zu aktualisieren und anschließend die Security-Updates einzuspielen. Nur falls dies in der Kürze der Zeit nicht möglich ist, sollten Admins auf die Patches für die alten CUs zurückgreifen.

Abwehrmaßnahmen ohne Patches

Kommt auch diese Variante nicht in Frage, etwa weil die Updates die eingesetzte Version nicht unterstützen oder Probleme bereiten, dann nennt Microsoft eine Reihe von Maßnahmen, wie Admins ihre Exchange Server durch eine Änderung der Konfiguration schützen können.

Ein solches Vorgehen hat jedoch den gravierenden Nachteil, dass sie in der Regel Funktionen von Exchange abschalten. Dazu gehören etwa das Deaktivieren der Unified Messaging Services oder des ECP.

Ungeschützte Exchange Server erkennen

Unabhängig davon, welche Maßnahmen man ergriffen hat, sollte man verifizieren, dass die Exchange Server nicht mehr verwundbar sind.

Zu diesem Zweck bietet Microsoft ein nmap-Script an, das die Systeme auf CVE-2021-26855 prüft. Dies ist besonders dann praktisch, wenn man viele Server mit unterschiedlichen Release-Ständen einsetzt.

Erfolgte Angriffe erkennen

Microsoft legt Anwendern nahe, dem Patchen der Exchange-Server die größte Priorität einzuräumen. Nur wenn genügend Ressourcen zur Verfügung stehen, dann sollte man die Systeme gleichzeitig aktualisieren und auf Veränderungen zu untersuchen.

Um erfolgte Angriffe und deren Hinter­lassenschaften zu entdecken, bietet Microsoft über GitHub ein PowerShell-Script an. Es untersucht Exchange Server auf vier Indikatoren einer HAFNIUM-Attacke. Indem man ihm den Output von Get-ExchangeServer über eine Pipe weiterleitet, kann man alle Server über einen Aufruf prüfen.