IT

BSI mahnt: Exchange-Sicherheitsupdate installieren!

Zwar stehen bereits seit mehreren Monaten Sicherheitsupdates für die kritischen Sicherheitslücken von Exchange-Servern bereit. Trotzdem sind nach wie vor viele dieser Server öffentlich erreichbar und mehrere Tausend anfällig für eine der Schwachstellen.
07.10.2020

Ein Angreifer kann über die Kompromittierung eines Exchange-Servers, je nach Systemumgebung, leicht in den Besitz von Domänen-Administrator-Credentials gelangen und damit das gesamte Active Directory kompromittieren.

"Wir stellen leider immer wieder fest, dass Anwender vorhandene Sicherheitsupdates über Monate hinweg ignorieren und so unnötige, aber erhebliche Risiken eingehen. Besonders kritisch ist in diesem Fall, dass die Sicherheitslücken aus dem Internet heraus ausnutzbar sind und der zugehörige Angriffscode veröffentlicht bzw. bereits in bekannte Angriffswerkzeuge integriert wurde. Es ist somit höchste Zeit, auf betroffenen Systemen die vom Hersteller bereitgestellten Sicherheits-Updates einzuspielen. Das CERT-Bund im BSI benachrichtigt deutsche Netzbetreiber zu bekannten IP-Adressen verwundbarer Exchange-Server in ihren jeweiligen Netzen. Betroffene Anwender sollten die entsprechenden Informationen der Provider ernst nehmen und handeln", sagt BSI-Präsident Arne Schönbohm.

Am 11. Februar 2020 hatte Microsoft bereits Sicherheitsupdates für den Exchange-Server bereitstellt, die eine kritische Schwachstelle beheben. Ein entfernter Angreifer kann diese ausnutzen, um einen beliebigen Programmcode mit System-Rechten auszuführen und so das System komplett zu übernehmen. Ein Exploit-Code zur Ausnutzung der Schwachstelle ist öffentlich verfügbar. Die Schwachstelle wird bereits aktiv für Angriffe genutzt.

Wie die Angriffe funktionieren:

Exchange-Server werden häufig admistrativ eng in das Active Directory integriert. Damit werden Computer-Konten und Service-Accounts entgegen der Herstellerempfehlungen mit privilegierten Rechten – vergleichbar mit Domänen-Administratoren – versehen.

Ein Angreifer kann über die Kompromittierung eines Exchange-Servers somit, je nach Systemumgebung, leicht in den Besitz von Domänen-Administrator-Credentials gelangen und damit das gesamte Active Directory, also den Verzeichnisdienst der Windows-Server,  kompromittieren. Hier werden verschiedene Objekte in einem Netzwerk wie Benutzer, Gruppen, Computer, Dienste, Server, Dateifreigaben und andere Geräte wie Drucker und Scanner verwaltet.

Was dagegen getan werden kann:

Das BSI empfiehlt zu prüfen, ob verwundbare Versionen im Einsatz sind und diese dann schnellstmöglich zu aktualisieren. Weiterhin ist zu prüfen, über welche Protokolle Exchange-Server über das Internet erreichbar sein müssen.

Um das Risiko der Ausnutzung solcher Schwachstellen nachhaltig zu reduzieren, sollte die Erreichbarkeit auf unbedingt notwendige Protokolle und berechtigte Personen nach erfolgreicher Authentifizierung  sowie über kryptografisch gesicherte Verbindungen beschränkt werden. Dies könnte zum Beispiel durch den Einsatz eines VPN-Gateways erreicht werden.

13. Oktober – End of Support bei Exchange 2010

Weiterhin weist das BSI darauf hin, dass Exchange 2010 am 13. Oktober 2020 den "End of Support (EoS)"-Status erreicht. Ab dann werden keinerlei Sicherheitsupdates mehr zur Verfügung gestellt. Auch das EoS-Datum für Exchange 2013 ist seitens des Herstellers bereits vorgesehen: für den 11. April 2023. Um sicher zu stellen, dass zukünftig Updates für kritische Sicherheitslücken angewendet werden können, sollten Exchange 2013 nutzende Organisationen zeitnah mit der Migrationsplanung beginnen. (sg)