Kritische Schwachstellen bei Microsoft Exchange Server – sofort schließen!

→ Hier geht es zu den Maßnahmen gegen MS Exchange Server Angriff: Was Sie jetzt tun müssen

Was ist betroffen?

Laut Microsoft Security Response Center betreffen die Schwachstellen die on-premise  Variante Microsoft Exchange Server. Exchange Online ist nicht betroffen.

Verwundbar sind alle Exchange Server Versionen, außer die, die auf Office 365 zugreifen. An Tag 1 nach den Patches waren allein in Deutschland laut BSI noch schätzungsweise 58.000 Systeme betroffen.

Überblick über Verwundbarkeit der einzelnen Versionen

Verwundbare Exchange Server Versionen:

• Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019
• Microsoft Small Business Server, Exchange 2007, Exchange 2003 (sehr wahrscheinlich verwundbar)

Nicht betroffen:

• Exchange Server, die Office 365 verwenden (aufgrund anderer Architektur)

Out-of Band Updates verfügbar für:

• Exchange Server 2010 (SP3 RU), Exchange Server 2013 (CU23), Exchange Server 2016 (CU 19, CU 18), Exchange Server 2019 (CU 8, CU 7)

Die Schwachstellen im Einzelnen

• CVE-2021-26855ist eine SSRF-Schwachstelle (Server-Side Request Forgery) in Exchange, die es dem Angreifer ermöglicht, beliebige HTTP-Anfragen zu senden und sich als Exchange-Server zu authentifizieren.
• CVE-2021-26857 ist eine unsichere Deserialisierungs-Schwachstelle im Unified Messaging-Service. Eine unsichere Deserialisierung liegt vor, wenn nicht vertrauenswürdige, vom Benutzer kontrollierbare Daten von einem Programm deserialisiert werden. Durch das Ausnutzen dieser Schwachstelle können Angreifer bösartigen Code als SYSTEM auf dem Exchange-Server ausführen. Dies erfordert Administratorrechte oder eine andere Schwachstelle, die ausgenutzt werden kann.
• CVE-2021-26858und CVE-2021-27065 sind Schwachstellen in Exchange, bei der nach der Authentifizierung beliebige Dateien geschrieben werden können.  Wenn sich Angreifer beim Exchange-Server authentisieren können (z.B. durch die oben genannte SSRF-Schwachstelle CVE-2021-26855), könnten sie eine dieser weiteren Schwachstellen ausnutzen, um eine Datei in einen beliebigen Pfad auf dem Server zu schreiben.

Wie läuft ein Angriff ab?

Diese Schwachstellen können in Kombination ausgenutzt werden. Sofern der Outlook Web App (OWA) Zugriff des MS Exchange Servers über den Port 443 erreichbar ist, kann die Schwachstelle CVE-2021-26855 ausgenutzt werden. In Kombination mit den anderen Sicherheitslücken ist es Angreifern dann möglich, vollständige Kontrolle über den Exchange Server zu erlangen. Das bedeutet, Angreifer können dann jede E-Mail eines beliebigen E-Mail-Postfachs lesen, Daten auf den Server schreiben, Backdoors (wie z.B. Webshell) installieren und haben damit unter Umständen einen direkten Zugang zum internen Netz des Unternehmens.

Ein potentieller Angriff umfasst für gewöhnlich folgende Schritte:

• Ausnutzen SSRF-Schwachstelle (Poxy-Logon – System Authentisierung)
• Ausnutzen einer anderen Schwachstelle, um erhöhte Rechte zu erlangen (z.B. CVE-2021-2657, CVE-2021-26858 oder CVE-2021-27065)
• Installieren einer Webshell für persistenten Zugriff (auch nach Installation der Sicherheits-Patches)

Eine ausführliche technische Beschreibung, wie die Sicherheitslücken ausgenutzt werden können, beschreibt das amerikanische Cyber Security Unternehmen Volexity:
Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities

Welche Auswirkungen kann der Angriff haben?

Die Ausnutzung der Kombination der Schwachstellen CVE-2021-26855, CVE-2021-2657, CVE-2021-26858 oder CVE-2021-27065 kann zu einer vollständigen Kompromittierung des des Exchange Servers und sogar zu Teilen des Unternehmensnetzwerkes führen. Konkret kann ein Angreifer durch die Ausnutzung der Schwachstellen:

• beliebige Mails aus beliebigen Postfächern auslesen
• beliebige Daten auf den Server schreiben
• bösartigen Programmcode aus der Ferne ausführen, um somit den Server fernzusteuern, welcher dadurch als Backdoor (Zugang) zum internen Unternehmensnetzwerk dienen kann.

Wer steckt dahinter?

Mit der Bekanntgabe des Exploits trat Microsoft in einem Blogpost „New nation-state cyberattacks“ von Tom Burt, Corporate Vice President, Customer Security & Trust Microsoft zum ersten Mal an die Öffentlichkeit und teilte Informationen über eine mutmaßlich aus China operierende Hackergruppe, die der Name HAFNIUM gegeben wurde. Dem Microsoft Threat Intelligence Team sei dieser hochgradig qualifizierte und raffinierte Akteur durch wiederkehrende Taktiken aufgefallen.

HAFNIUM richte sich in erster Linie an Unternehmen in den Vereinigten Staaten aus verschiedenen Branchen, darunter Forscher von Infektionskrankheiten, Anwaltskanzleien, Hochschulen, Verteidigungsunternehmen, politische Think Tanks und NGOs.

Die Sicherheitsfirma ESET hat in Untersuchungen indes gezeigt, dass nicht nur HAFNIUM, sondern mehrere, mindestens zehn Advanced Persistent Threat (APT)-Gruppen die Sicherheitslücken in Exchange ausnutzen und teilweise schon vor der Patch-Veröffentlichung davon wussten.

Was ist zu tun?

Was Betroffene jetzt tun können, haben wir für Sie in einem eigenen Blogbeitrag aufgeführt:

→ Hier geht es zu den Maßnahmen gegen MS Exchange Server Angriff: Was Sie jetzt tun müssen

Webinar Fortinet für Anwender: Anforderungen schnell & einfach umsetzen!

Im kostenlosen Webinar zeigen Ihnen Experten in praxisnahen Demo-Beispielen, wie Sie mit Fortinet den Administrationsalltag erheblich erleichtern können. Erfahren Sie, wie schnell und einfach Sie ein VPN Enrollment aufsetzen, Applikationen extern verfügbar machen und eine starke Zwei-Faktor-Authentifizierung einrichten.

Jetzt Webinar on-demand anschauen!

Sie haben an den Terminen keine Zeit? Kein Problem! Registrieren Sie sich trotzdem. Sie erhalten dann nach dem Live-Webinar die Aufzeichnung zur Verfügung gestellt.