BSI warnt: Kritische Schwachstellen in Exchange-Servern
von caschy | 13 Kommentare
„Zehntausende“ Exchange-Server in Deutschland sind nach Informationen des IT-Dienstleisters Shodan über das Internet angreifbar und mit „hoher Wahrscheinlichkeit“ bereits mit Schadsoftware infiziert. Betroffen seien Organisationen jeder Größe, so das Unternehmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat begonnen, potenziell Betroffene zu informieren. Es empfiehlt allen Betreibern von betroffenen Exchange-Servern, sofort die von Microsoft bereitgestellten Patches einzuspielen. Jene sind bereits seit Mittwoch, den 3. März zu haben. Anfällige Exchange-Systeme sollten aufgrund des sehr hohen Angriffsrisikos dringend auf entsprechende Auffälligkeiten geprüft werden. Das BSI schätzt die IT-Bedrohungslage im heute erschienenen Paper als hoch ein.
Bei den Schwachstellen handelt es sich um:
• CVE-2021-26855 ist eine server-side request forgery (SSRF) Schwachstelle in Exchange, welche es einem Angreifer erlaubt, HTTP-Requests zu senden und sich am Exchange-Server zu authentisieren.
• CVE-2021-26857 ist eine insecure deserialization Schwachstelle im Unified Messaging Service. Bei insecure deserialization werden nutzer-bestimmte Daten von einem Programm deserialisiert. Hierüber ist es möglich, beliebigen Programmcode als SYSTEM auf dem Exchange Server auszuführen. Dies erfordert Administrator-Rechte oder die Ausnutzung einer entsprechenden weiteren Schwachstelle.
• CVE-2021-26858 und CVE-2021-27065 sind Schwachstellen, mit denen – nach Authentisierung – beliebige Dateien auf dem Exchange-Server geschrieben werden können. Die Authentisierung kann z.B. über CVE-2021-26855 oder abgeflossene Administrator-Zugangsdaten erfolgen.
Wird geladen ...
MS hat einen Blog-Eintrag inkl. Skript zum checken bereitgestellt, ob man bereits kompromittiert wurde
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
Direktlink zum Script
https://github.com/microsoft/CSS-Exchange/tree/main/Security
mfg
Stefan
Ich hoffe ja das kein Exchange Admin ernsthaft erst hier im Blog davon erfahren hat. 😉
Ne zum Glück nicht, war gestern späten Abend fleißig und hab aktualisiert ^^
bist nicht allein, hat mich gestern auch den Feierabend gekostet 😉
Exchange ist der einzige Dienst, den ich guten Gewissens in den Cloud verlagert habe. Alles andere läuft bei uns auf eigener Hardware. Wenn man Exchange verantwortungsvoll betreiben möchte, ist da eine Vollzeitstelle für weg, das lohnt sich erst wenn man viele, viele Postfächer hat. Dass alleine für Exchange 2019 fast so viel Hardware nötig gewesen wäre, wie alle anderen On-Premise-Dienste zusammen bei uns benötigen, war da nur das Sahnehäubchen.
Läuft und ist supported mit den gleichen Requs wie der 2016er
Der Rest ist nur empfohlen
Die zu ersetzende Exchangeumgebung war noch weit davon entfernt, mit der 2016er-Version zu laufen. Und mit Minimum-Requirements macht man sowas nicht. Alleine schon die Daten-Migration auf den akutellen Exchange wäre der gleiche Aufwand gewesen, wie die Migration in die Cloud.
Es gab (und gibt) bei uns keinen Vollzeit-Exchange-Admin, dementsprechend verkommen&veraltet war die Exchangeinstalltion.
Las sich Mittwoch noch bei weitem weniger Kritisch als jetzt, dreck ><
Ich verstehe eh nicht, wieso jede Firma ihren eigenen Exchange Server haben muss. Email bietet so viel Angriffspotential, Ransomware, Phishing, spoofing Trojaner Viren… im Prinzip müsste man alles Scannen, die Header prüfen, eine Sandbox zum rendern verwenden usw. um wirklich sicher Email zu verwenden. Der Aufwand dazu ist extrem hoch, dafür dass man für ein paar Euro Gmail/Outlook Online buchen kann.
Tja, die Denke mit der „Datenhoheit“…
…das wäre für den Admin schon sehr unpraktisch, wenn jeder Mitarbeiter seinen eigenen Gmail Account hat 😉 Es geht hier darum, Postfächer ggf. gemeinsam zu nutzen, diese zentral zu verwalten und z.B im Falle des Ausscheidens eines MA die Mails weiterleiten zu können etc. Adresslisten sind auch ein Thema, genau wie Datensicherungen. Oft ist auch ein DMS System direkt an den Exchange angebunden um die Mails zu archivieren, Datenschutz ist noch ein weiterer Grund. Wer einen Exchange selber hostet hat in der Regel auch eine Firewall davor, die genau das macht wie oben angesprochen – den Exchange offen ins Netz zu stellen und den MA das Spam sortieren zu überlassen, das wäre ja Wahnsinn 😉 Wenn der Betrieb die nötige Infrastruktur an IT hat, ist ein eigener Exchange eine gute Wahl, für den 4 Mann Handwerkerbetrieb aber natürlich etwas zu viel des Guten. Mittlerweile gibt es von MS gute Alternativen in der Cloud, Ja – das war vor einigen Jahren aber noch nicht der Fall.
Ich hab von den kostenpflichtigen Firmenkonten geredet, da hast du doch als Admin weiterhin Zugriff auf die Accounts. Daten archivieren usw. geht auch eigentlich überall super leicht über API calls. Die meisten kleinen bis mittelgroßen Unternehmen lassen sich einen Outlook Server einmal für sehr wenig Geld von einer externen Firma einrichten und lassen dass dann Jahre lang laufen. Und selbst bei mittelgroßen Firmen mit it Abteilung würde ich mir überlegen so was auszulagern. Ich bezweifle dass es eine Firma gibt, deren Email sicherer ist bei beispielsweise bei Google. Und die Kosten sind um ein vielfaches kleiner.
Eine Vollzeitstelle in der IT muss man schon rechnen. Einfach die Lohnkosten durch die Kosten pro Postfach in der Cloud dividieren, falls man zu klein ist für Office in Volumenlizenzierung auch die Office-Lizenzen mit einrechnen. Eigener Exchange lohnt wirklich nur noch für Große Firmen.