BSI warnt: Kritische Schwachstellen in Exchange-Servern

Zehntausende“ Exchange-Server in Deutschland sind nach Informationen des IT-Dienstleisters Shodan über das Internet angreifbar und mit „hoher Wahrscheinlichkeit“ bereits mit Schadsoftware infiziert. Betroffen seien Organisationen jeder Größe, so das Unternehmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat begonnen, potenziell Betroffene zu informieren. Es empfiehlt allen Betreibern von betroffenen Exchange-Servern, sofort die von Microsoft bereitgestellten Patches einzuspielen. Jene sind bereits seit Mittwoch, den 3. März zu haben. Anfällige Exchange-Systeme sollten aufgrund des sehr hohen Angriffsrisikos dringend auf entsprechende Auffälligkeiten geprüft werden. Das BSI schätzt die IT-Bedrohungslage im heute erschienenen Paper als hoch ein.

Bei den Schwachstellen handelt es sich um:

• CVE-2021-26855 ist eine server-side request forgery (SSRF) Schwachstelle in Exchange, welche es einem Angreifer erlaubt, HTTP-Requests zu senden und sich am Exchange-Server zu authentisieren.

• CVE-2021-26857 ist eine insecure deserialization Schwachstelle im Unified Messaging Service. Bei insecure deserialization werden nutzer-bestimmte Daten von einem Programm deserialisiert. Hierüber ist es möglich, beliebigen Programmcode als SYSTEM auf dem Exchange Server auszuführen. Dies erfordert Administrator-Rechte oder die Ausnutzung einer entsprechenden weiteren Schwachstelle.

• CVE-2021-26858 und CVE-2021-27065 sind Schwachstellen, mit denen – nach Authentisierung – beliebige Dateien auf dem Exchange-Server geschrieben werden können. Die Authentisierung kann z.B. über CVE-2021-26855 oder abgeflossene Administrator-Zugangsdaten erfolgen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram. PayPal-Kaffeespende.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

13 Kommentare

  1. MS hat einen Blog-Eintrag inkl. Skript zum checken bereitgestellt, ob man bereits kompromittiert wurde

    https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
    Direktlink zum Script
    https://github.com/microsoft/CSS-Exchange/tree/main/Security
    mfg
    Stefan

  2. Ich hoffe ja das kein Exchange Admin ernsthaft erst hier im Blog davon erfahren hat. 😉

  3. Exchange ist der einzige Dienst, den ich guten Gewissens in den Cloud verlagert habe. Alles andere läuft bei uns auf eigener Hardware. Wenn man Exchange verantwortungsvoll betreiben möchte, ist da eine Vollzeitstelle für weg, das lohnt sich erst wenn man viele, viele Postfächer hat. Dass alleine für Exchange 2019 fast so viel Hardware nötig gewesen wäre, wie alle anderen On-Premise-Dienste zusammen bei uns benötigen, war da nur das Sahnehäubchen.

    • Läuft und ist supported mit den gleichen Requs wie der 2016er
      Der Rest ist nur empfohlen

      • Die zu ersetzende Exchangeumgebung war noch weit davon entfernt, mit der 2016er-Version zu laufen. Und mit Minimum-Requirements macht man sowas nicht. Alleine schon die Daten-Migration auf den akutellen Exchange wäre der gleiche Aufwand gewesen, wie die Migration in die Cloud.
        Es gab (und gibt) bei uns keinen Vollzeit-Exchange-Admin, dementsprechend verkommen&veraltet war die Exchangeinstalltion.

  4. Las sich Mittwoch noch bei weitem weniger Kritisch als jetzt, dreck ><

  5. Ich verstehe eh nicht, wieso jede Firma ihren eigenen Exchange Server haben muss. Email bietet so viel Angriffspotential, Ransomware, Phishing, spoofing Trojaner Viren… im Prinzip müsste man alles Scannen, die Header prüfen, eine Sandbox zum rendern verwenden usw. um wirklich sicher Email zu verwenden. Der Aufwand dazu ist extrem hoch, dafür dass man für ein paar Euro Gmail/Outlook Online buchen kann.

    • Blacky Forest says:

      Tja, die Denke mit der „Datenhoheit“…

      • …das wäre für den Admin schon sehr unpraktisch, wenn jeder Mitarbeiter seinen eigenen Gmail Account hat 😉 Es geht hier darum, Postfächer ggf. gemeinsam zu nutzen, diese zentral zu verwalten und z.B im Falle des Ausscheidens eines MA die Mails weiterleiten zu können etc. Adresslisten sind auch ein Thema, genau wie Datensicherungen. Oft ist auch ein DMS System direkt an den Exchange angebunden um die Mails zu archivieren, Datenschutz ist noch ein weiterer Grund. Wer einen Exchange selber hostet hat in der Regel auch eine Firewall davor, die genau das macht wie oben angesprochen – den Exchange offen ins Netz zu stellen und den MA das Spam sortieren zu überlassen, das wäre ja Wahnsinn 😉 Wenn der Betrieb die nötige Infrastruktur an IT hat, ist ein eigener Exchange eine gute Wahl, für den 4 Mann Handwerkerbetrieb aber natürlich etwas zu viel des Guten. Mittlerweile gibt es von MS gute Alternativen in der Cloud, Ja – das war vor einigen Jahren aber noch nicht der Fall.

        • Ich hab von den kostenpflichtigen Firmenkonten geredet, da hast du doch als Admin weiterhin Zugriff auf die Accounts. Daten archivieren usw. geht auch eigentlich überall super leicht über API calls. Die meisten kleinen bis mittelgroßen Unternehmen lassen sich einen Outlook Server einmal für sehr wenig Geld von einer externen Firma einrichten und lassen dass dann Jahre lang laufen. Und selbst bei mittelgroßen Firmen mit it Abteilung würde ich mir überlegen so was auszulagern. Ich bezweifle dass es eine Firma gibt, deren Email sicherer ist bei beispielsweise bei Google. Und die Kosten sind um ein vielfaches kleiner.

          • Eine Vollzeitstelle in der IT muss man schon rechnen. Einfach die Lohnkosten durch die Kosten pro Postfach in der Cloud dividieren, falls man zu klein ist für Office in Volumenlizenzierung auch die Office-Lizenzen mit einrechnen. Eigener Exchange lohnt wirklich nur noch für Große Firmen.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.