[Warning] Kritische Sicherheitslücken in Microsoft Exchange Server - Patches verfügbar
Erik Huemer
huemer at cert.at
Wed Mar 3 11:00:08 CET 2021
3. März 2021
Beschreibung
Microsoft hat außerhalb des üblichen Update-Zyklus' mehrere Patches
für Microsoft Exchange zur Verfügung gestellt. Einige der darin
behobenen Sicherheitslücken werden nach Angaben von Microsoft und der
IT-Sicherheits-Firma Volexity bereits aktiv ausgenutzt. Es gibt
bereits öffentlich verfügbare Skripte, mit denen aus dem öffentlichen
Internet erreichbare Exchange Server von außen auf Verwundbarkeit
geprüft werden können. Öffentlich verfügbare Exploits zum Ausnutzen
der Schwachstellen sind noch nicht bekannt.
CVE-Nummern:
* CVE-2021-26855 (CVSS Base Score: 9.1): Hierbei handelt es
sich um eine SSRF (Server-Side Request Forgery) Schwachstelle,
die es AngreiferInnen ermöglicht, den Exchange-Server dazu zu
bringen, sich gegen sich selbst zu authentisieren und infolge
Zugriff auf sämtliche E-Mail-Postfächer zu erhalten. Für einen
erfolgreichen Angriff muss lediglich die externe IP-Adresse des
Exchange Servers bekannt sein. Diese Schwachstelle wird bereits
aktiv für Angriffe ausgenutzt.
* CVE-2021-26857 (CVSS Base Score: 7.8): Dies ist eine
Deserialisierungsschwachstelle im Unified Messaging Service, die
es AngreiferInnen ermöglicht, beliebige Befehle als
NT Auhority\SYSTEM auszuführen. Erfolgreiches Ausnutzen benötigt
lt. Microsoft entweder Administrationsrechte oder eine andere
Schwachstelle. Diese Schwachstelle wird bereits aktiv für
Angriffe ausgenutzt.
* CVE-2021-26858 (CVSS Base Score: 7.8): Dabei handelt es sich um
eine Schwachstelle, die es AngreiferInnen ermöglicht, beliebige
Dateien auf dem Exchange Server zu erstellen. Erfolgreiches
Ausnutzen benötigt lt. Microsoft entweder Administrationsrechte
oder eine andere Schwachstelle, wobei CVE-2021-26855 explizit als
Möglichkeit angegeben wird. Diese Schwachstelle wird bereits
aktiv für Angriffe ausgenutzt.
* CVE-2021-27065 (CVSS Base Score: 7.8): Dabei handelt es sich
ebenfalls um eine Schwachstelle, die es AngreiferInnen
ermöglicht, beliebige Dateien auf dem Exchange Server zu
erstellen. Erfolgreiches Ausnutzen benötigt lt. Microsoft
entweder Administrationsrechte oder eine andere Schwachstelle,
wobei CVE-2021-26855 explizit als Möglichkeit angegeben wird.
Diese Schwachstelle wird bereits aktiv für Angriffe ausgenutzt.
* CVE-2021-26412 (CVSS Base Score: 9.1): Dabei handelt es sich um
eine Remote Code Execution Schwachstelle, zu der keine weiteren
Details vorliegen. Lt. Microsoft sind derzeit keine Angriffe
bekannt, in denen diese Lücke ausgenutzt wird.
* CVE-2021-26854 (CVSS Base Score: 6.6): Dabei handelt es sich um
eine Remote Code Execution Schwachstelle, zu der keine weiteren
Details vorliegen. Lt. Microsoft sind derzeit keine Angriffe
bekannt, in denen diese Lücke ausgenutzt wird.
* CVE-2021-27078 (CVSS Base Score: 9.1): Dabei handelt es sich um
eine Remote Code Execution Schwachstelle, zu der keine weiteren
Details vorliegen. Lt. Microsoft sind derzeit keine Angriffe
bekannt, in denen diese Lücke ausgenutzt wird.
Auswirkungen
Die Kombination von CVE-2021-26855 mit einer der anderen
Schwachstellen ermöglicht die vollständige Übernahme des Exchange
Servers sowie den Diebstahl des Inhalts sämtlicher E-Mail-Postfächer.
Betroffene Systeme
* Microsoft Exchange Server 2013
* Microsoft Exchange Server 2016
* Microsoft Exchange Server 2019
Laut Microsoft sind ausschließlich die On-Premise Varianten betroffen
und nicht Exchange Online.
Abhilfe
Einspielen der von Microsoft zur Verfügung gestellten Patches. Bitte
beachten Sie, dass die Patches lediglich für folgende Exchange
Versionen funktionieren:
* Exchange Server 2010: RU 31 for Service Pack 3
* Exchange Server 2013: CU 23
* Exchange Server 2016: CU 19, CU 18
* Exchange Server 2019: CU 8, CU 7
Sollten Sie ältere Versionen betreiben, müssen diese vor dem
Einspielen der out-of-band Patches auf eine der oben genannten
Versionen aktualisiert werden.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Microsoft Exchange Team Blog mit Links zu den Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901
Meldung des Microsoft Security Response Center
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
Microsofts Meldung zur Kampagne, die die Schwachstellen bereits
ausnutzt
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
Blogpost von Volexity zu den Angriffen
https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
--
// Erik Huemer <huemer at cert.at> - T: +43 1 5056416 767
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - https://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20210303/110a12fd/attachment.sig>
More information about the Warning
mailing list