Update - Kritische Sicherheitslücken in Microsoft Exchange Server - Patches verfügbar
3. März 2021
Update: 4. März 2021
Update: 5. März 2021
Beschreibung
Microsoft hat außerhalb des üblichen Update-Zyklus' mehrere Patches für Microsoft Exchange zur Verfügung gestellt. Einige der darin behobenen Sicherheitslücken werden nach Angaben von Microsoft und der IT-Sicherheits-Firma Volexity bereits aktiv ausgenutzt. Es gibt bereits öffentlich verfügbare Skripte, mit denen aus dem öffentlichen Internet erreichbare Exchange Server von außen auf Verwundbarkeit geprüft werden können. Öffentlich verfügbare Exploits zum Ausnutzen der Schwachstellen sind noch nicht bekannt.
Update: 4. März 2021
Die Schwachstellen werden inzwischen auf breiter Ebene aktiv ausgenutzt.
Update: 5. März 2021
Die Zahlen zu potentiell verwundbaren Exchange Servern in Österreich finden Sie unter https://cert.at/de/aktuelles/2021/3/microsoft-exchange-server-von-neuen-und-alten-schwachstellen. Es ist derzeit davon auszugehen, dass sämtliche Instanzen potentiell kompromittiert sind. CERT.at empfiehlt daher allen Betroffenen, die Patches so schnell wie möglich einzuspielen und anschließend die eigene Infrastruktur mit den unten verlinkten Yara- bzw. Sigma-Regeln und einem Skript von CERT.LV (https://github.com/cert-lv/exchange_webshell_detection) auf bereits erfolgte Angriffe zu überprüfen. Auch Microsoft hat Scripte zur Verfügung gestellt, mit denen einen Kompromittierung (durch eine Analyse der Logfiles) festgestellt werden kann.
CVE-Nummern:
- CVE-2021-26855 (CVSS Base Score: 9.1): Hierbei handelt es sich um eine SSRF (Server-Side Request Forgery) Schwachstelle, die es AngreiferInnen ermöglicht, den Exchange-Server dazu zu bringen, sich gegen sich selbst zu authentisieren und infolge Zugriff auf sämtliche E-Mail-Postfächer zu erhalten. Für einen erfolgreichen Angriff muss lediglich die externe IP-Adresse des Exchange Servers bekannt sein. Diese Schwachstelle wird bereits aktiv für Angriffe ausgenutzt.
- CVE-2021-26857 (CVSS Base Score: 7.8): Dies ist eine Deserialisierungsschwachstelle im Unified Messaging Service, die es AngreiferInnen ermöglicht, beliebige Befehle als
NT Auhority\SYSTEMauszuführen. Erfolgreiches Ausnutzen benötigt lt. Microsoft entweder Administrationsrechte oder eine andere Schwachstelle. Diese Schwachstelle wird bereits aktiv für Angriffe ausgenutzt. - CVE-2021-26858 (CVSS Base Score: 7.8): Dabei handelt es sich um eine Schwachstelle, die es AngreiferInnen ermöglicht, beliebige Dateien auf dem Exchange Server zu erstellen. Erfolgreiches Ausnutzen benötigt lt. Microsoft entweder Administrationsrechte oder eine andere Schwachstelle, wobei CVE-2021-26855 explizit als Möglichkeit angegeben wird. Diese Schwachstelle wird bereits aktiv für Angriffe ausgenutzt.
- CVE-2021-27065 (CVSS Base Score: 7.8): Dabei handelt es sich ebenfalls um eine Schwachstelle, die es AngreiferInnen ermöglicht, beliebige Dateien auf dem Exchange Server zu erstellen. Erfolgreiches Ausnutzen benötigt lt. Microsoft entweder Administrationsrechte oder eine andere Schwachstelle, wobei CVE-2021-26855 explizit als Möglichkeit angegeben wird. Diese Schwachstelle wird bereits aktiv für Angriffe ausgenutzt.
- CVE-2021-26412 (CVSS Base Score: 9.1): Dabei handelt es sich um eine Remote Code Execution Schwachstelle, zu der keine weiteren Details vorliegen. Lt. Microsoft sind derzeit keine Angriffe bekannt, in denen diese Lücke ausgenutzt wird.
- CVE-2021-26854 (CVSS Base Score: 6.6): Dabei handelt es sich um eine Remote Code Execution Schwachstelle, zu der keine weiteren Details vorliegen. Lt. Microsoft sind derzeit keine Angriffe bekannt, in denen diese Lücke ausgenutzt wird.
- CVE-2021-27078 (CVSS Base Score: 9.1): Dabei handelt es sich um eine Remote Code Execution Schwachstelle, zu der keine weiteren Details vorliegen. Lt. Microsoft sind derzeit keine Angriffe bekannt, in denen diese Lücke ausgenutzt wird.
Auswirkungen
Die Kombination von CVE-2021-26855 mit einer der anderen Schwachstellen ermöglicht die vollständige Übernahme des Exchange Servers sowie den Diebstahl des Inhalts sämtlicher E-Mail-Postfächer.
Betroffene Systeme
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
Laut Microsoft sind ausschließlich die On-Premise Varianten betroffen und nicht Exchange Online.
Abhilfe
Einspielen der von Microsoft zur Verfügung gestellten Patches. Bitte beachten Sie, dass die Patches lediglich für folgende Exchange Versionen funktionieren:
- Exchange Server 2010: RU 31 for Service Pack 3
- Exchange Server 2013: CU 23
- Exchange Server 2016: CU 19, CU 18
- Exchange Server 2019: CU 8, CU 7
Sollten Sie ältere Versionen betreiben, müssen diese vor dem Einspielen der out-of-band Patches auf eine der oben genannten Versionen aktualisiert werden.
Update: 4. März 2021
Zur Detektion einer möglichen Kompromittierung sind Yara- und Sigma-Regeln verfügbar
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):
Microsoft Exchange Team Blog mit Links zu den Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901
Meldung des Microsoft Security Response Center
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
Microsofts Meldung zur Kampagne, die die Schwachstellen bereits ausnutzt
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
Blogpost von Volexity zu den Angriffen
https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/