From huemer at cert.at Wed Mar 3 11:00:08 2021 From: huemer at cert.at (Erik Huemer) Date: Wed, 3 Mar 2021 11:00:08 +0100 Subject: [Warning] =?utf-8?q?Kritische_Sicherheitsl=C3=BCcken_in_Microsoft?= =?utf-8?q?_Exchange_Server_-_Patches_verf=C3=BCgbar?= Message-ID: 3. März 2021 Beschreibung Microsoft hat außerhalb des üblichen Update-Zyklus' mehrere Patches für Microsoft Exchange zur Verfügung gestellt. Einige der darin behobenen Sicherheitslücken werden nach Angaben von Microsoft und der IT-Sicherheits-Firma Volexity bereits aktiv ausgenutzt. Es gibt bereits öffentlich verfügbare Skripte, mit denen aus dem öffentlichen Internet erreichbare Exchange Server von außen auf Verwundbarkeit geprüft werden können. Öffentlich verfügbare Exploits zum Ausnutzen der Schwachstellen sind noch nicht bekannt. CVE-Nummern: * CVE-2021-26855 (CVSS Base Score: 9.1): Hierbei handelt es sich um eine SSRF (Server-Side Request Forgery) Schwachstelle, die es AngreiferInnen ermöglicht, den Exchange-Server dazu zu bringen, sich gegen sich selbst zu authentisieren und infolge Zugriff auf sämtliche E-Mail-Postfächer zu erhalten. Für einen erfolgreichen Angriff muss lediglich die externe IP-Adresse des Exchange Servers bekannt sein. Diese Schwachstelle wird bereits aktiv für Angriffe ausgenutzt. * CVE-2021-26857 (CVSS Base Score: 7.8): Dies ist eine Deserialisierungsschwachstelle im Unified Messaging Service, die es AngreiferInnen ermöglicht, beliebige Befehle als NT Auhority\SYSTEM auszuführen. Erfolgreiches Ausnutzen benötigt lt. Microsoft entweder Administrationsrechte oder eine andere Schwachstelle. Diese Schwachstelle wird bereits aktiv für Angriffe ausgenutzt. * CVE-2021-26858 (CVSS Base Score: 7.8): Dabei handelt es sich um eine Schwachstelle, die es AngreiferInnen ermöglicht, beliebige Dateien auf dem Exchange Server zu erstellen. Erfolgreiches Ausnutzen benötigt lt. Microsoft entweder Administrationsrechte oder eine andere Schwachstelle, wobei CVE-2021-26855 explizit als Möglichkeit angegeben wird. Diese Schwachstelle wird bereits aktiv für Angriffe ausgenutzt. * CVE-2021-27065 (CVSS Base Score: 7.8): Dabei handelt es sich ebenfalls um eine Schwachstelle, die es AngreiferInnen ermöglicht, beliebige Dateien auf dem Exchange Server zu erstellen. Erfolgreiches Ausnutzen benötigt lt. Microsoft entweder Administrationsrechte oder eine andere Schwachstelle, wobei CVE-2021-26855 explizit als Möglichkeit angegeben wird. Diese Schwachstelle wird bereits aktiv für Angriffe ausgenutzt. * CVE-2021-26412 (CVSS Base Score: 9.1): Dabei handelt es sich um eine Remote Code Execution Schwachstelle, zu der keine weiteren Details vorliegen. Lt. Microsoft sind derzeit keine Angriffe bekannt, in denen diese Lücke ausgenutzt wird. * CVE-2021-26854 (CVSS Base Score: 6.6): Dabei handelt es sich um eine Remote Code Execution Schwachstelle, zu der keine weiteren Details vorliegen. Lt. Microsoft sind derzeit keine Angriffe bekannt, in denen diese Lücke ausgenutzt wird. * CVE-2021-27078 (CVSS Base Score: 9.1): Dabei handelt es sich um eine Remote Code Execution Schwachstelle, zu der keine weiteren Details vorliegen. Lt. Microsoft sind derzeit keine Angriffe bekannt, in denen diese Lücke ausgenutzt wird. Auswirkungen Die Kombination von CVE-2021-26855 mit einer der anderen Schwachstellen ermöglicht die vollständige Übernahme des Exchange Servers sowie den Diebstahl des Inhalts sämtlicher E-Mail-Postfächer. Betroffene Systeme * Microsoft Exchange Server 2013 * Microsoft Exchange Server 2016 * Microsoft Exchange Server 2019 Laut Microsoft sind ausschließlich die On-Premise Varianten betroffen und nicht Exchange Online. Abhilfe Einspielen der von Microsoft zur Verfügung gestellten Patches. Bitte beachten Sie, dass die Patches lediglich für folgende Exchange Versionen funktionieren: * Exchange Server 2010: RU 31 for Service Pack 3 * Exchange Server 2013: CU 23 * Exchange Server 2016: CU 19, CU 18 * Exchange Server 2019: CU 8, CU 7 Sollten Sie ältere Versionen betreiben, müssen diese vor dem Einspielen der out-of-band Patches auf eine der oben genannten Versionen aktualisiert werden. Hinweis Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten. __________________________________________________________________ Informationsquelle(n): Microsoft Exchange Team Blog mit Links zu den Updates https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901 Meldung des Microsoft Security Response Center https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/ Microsofts Meldung zur Kampagne, die die Schwachstellen bereits ausnutzt https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ Blogpost von Volexity zu den Angriffen https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/ -- // Erik Huemer - T: +43 1 5056416 767 // CERT Austria - https://www.cert.at/ // Eine Initiative der nic.at GmbH - https://www.nic.at/ // Firmenbuchnummer 172568b, LG Salzburg -------------- next part -------------- A non-text attachment was scrubbed... Name: OpenPGP_signature Type: application/pgp-signature Size: 840 bytes Desc: OpenPGP digital signature URL: