Sicherheitslücken bei Microsoft Exchange Servern – schnellstmöglich aktualisieren

Zwar stehen bereits seit mehreren Monaten Sicherheitsupdates bereit, mit denen sich kritische Sicherheitslücken in dem Groupware- und E-Mail-Server Exchange beheben lassen. Trotzdem sind nach wie vor viele Exchange-Server öffentlich erreichbar und mehrere Tausend Exchange-Server anfällig für eine der Schwachstellen (CVE-2020-0688). Entsprechende Informationen des Unternehmens Rapid7 konnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) für Deutschland validieren.

„Wir stellen leider immer wieder fest, dass Anwenderinnen und Anwender vorhandene Sicherheitsupdates über Monate hinweg ignorieren und so unnötige, aber erhebliche Risiken eingehen. Besonders kritisch ist in diesem Fall, dass die Sicherheitslücken aus dem Internet heraus ausnutzbar sind und der zugehörige Angriffscode veröffentlicht bzw. bereits in bekannte Angriffswerkzeuge integriert wurde. Es ist somit höchste Zeit, auf betroffenen Systemen die vom Hersteller bereitgestellten Sicherheitsupdates einzuspielen. Das CERT-Bund im BSI benachrichtigt deutsche Netzbetreiber zu bekannten IP-Adressen verwundbarer Exchange-Server in ihren jeweiligen Netzen. Betroffene Anwender sollten die entsprechenden Informationen der Provider ernst nehmen und handeln“, sagt BSI-Präsident Arne Schönbohm.

Am 11. Februar 2020 hat Microsoft Sicherheitsupdates für den Exchange-Server bereitstellt, welche eine kritische Schwachstelle (CVE-2020-0688) beheben. Ein entfernter Angreifer kann die Schwachstelle ausnutzen, um beliebigen Programmcode mit System-Rechten auszuführen und so das System komplett zu übernehmen. Exploit-Code zur Ausnutzung der Schwachstelle ist öffentlich verfügbar. Die Schwachstelle wird bereits aktiv für Angriffe genutzt.

Exchange-Server werden häufig admistrativ eng in das Active Directory integriert. Damit werden Computer-Konten und Service-Accounts entgegen der Herstellerempfehlungen mit privilegierten Rechten – vergleichbar mit Domänen-Administratoren – versehen. Ein Angreifer kann über die Kompromittierung eines Exchange-Servers somit, je nach Systemumgebung, leicht in den Besitz von Domänen-Administrator-Credentials gelangen und damit das gesamte Active Directory kompromittieren. Das BSI empfiehlt zu prüfen, ob verwundbare Versionen eingesetzt werden und diese schnellstmöglich zu aktualisieren. Weiterhin ist zu prüfen, über welche Protokolle Exchange-Server über das Internet erreichbar sein müssen. Um das Risiko der Ausnutzung solcher Schwachstellen nachhaltig zu reduzieren, sollte die Erreichbarkeit auf unbedingt notwendige Protokolle und berechtigte Personen nach erfolgreicher Authentifizierung  sowie über kryptografisch gesicherte Verbindungen beschränkt werden. Dies könnte z. B. durch den Einsatz eines VPN-Gateways erreicht werden. Weiterhin weist das BSI darauf hin, dass Exchange 2010 am 13. Oktober 2020 den End of Support (EoS) Status erreicht. Ab diesem Zeitpunkt werden keinerlei Sicherheitsupdates mehr zur Verfügung gestellt. Auch das EoS-Datum für Exchange 2013 ist seitens des Herstellers für den 11. April 2023 vorgesehen. Um sicher zu stellen, dass zukünftig Updates für kritische Sicherheitslücken angewendet werden können, sollten Exchange 2013 nutzende Organisationen zeitnah mit der Migrationsplanung beginnen.

Link zur Cyber-Sicherheitswarnung: www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Cybersicherheitswarnungen/2020/2020-252437-1021.html