[Warning] Kritische Sicherheitslücken in Microsoft Exchange Server - Patches verfügbar

Erik Huemer huemer at cert.at
Wed Mar 3 11:00:08 CET 2021 

3. März 2021

Beschreibung

   Microsoft hat außerhalb des üblichen Update-Zyklus' mehrere Patches 	
   für Microsoft Exchange zur Verfügung gestellt. Einige der darin
   behobenen Sicherheitslücken werden nach Angaben von Microsoft und der
   IT-Sicherheits-Firma Volexity bereits aktiv ausgenutzt. Es gibt
   bereits öffentlich verfügbare Skripte, mit denen aus dem öffentlichen
   Internet erreichbare Exchange Server von außen auf Verwundbarkeit
   geprüft werden können. Öffentlich verfügbare Exploits zum Ausnutzen
   der Schwachstellen sind noch nicht bekannt.

   CVE-Nummern:
     * CVE-2021-26855 (CVSS Base Score: 9.1): Hierbei handelt es
       sich um eine SSRF (Server-Side Request Forgery) Schwachstelle,
       die es AngreiferInnen ermöglicht, den Exchange-Server dazu zu
       bringen, sich gegen sich selbst zu authentisieren und infolge
       Zugriff auf sämtliche E-Mail-Postfächer zu erhalten. Für einen
       erfolgreichen Angriff muss lediglich die externe IP-Adresse des
       Exchange Servers bekannt sein. Diese Schwachstelle wird bereits
       aktiv für Angriffe ausgenutzt.
     * CVE-2021-26857 (CVSS Base Score: 7.8): Dies ist eine
       Deserialisierungsschwachstelle im Unified Messaging Service, die
       es AngreiferInnen ermöglicht, beliebige Befehle als
       NT Auhority\SYSTEM auszuführen. Erfolgreiches Ausnutzen benötigt
       lt. Microsoft entweder Administrationsrechte oder eine andere
       Schwachstelle. Diese Schwachstelle wird bereits aktiv für
       Angriffe ausgenutzt.
     * CVE-2021-26858 (CVSS Base Score: 7.8): Dabei handelt es sich um
       eine Schwachstelle, die es AngreiferInnen ermöglicht, beliebige
       Dateien auf dem Exchange Server zu erstellen. Erfolgreiches
       Ausnutzen benötigt lt. Microsoft entweder Administrationsrechte
       oder eine andere Schwachstelle, wobei CVE-2021-26855 explizit als
       Möglichkeit angegeben wird. Diese Schwachstelle wird bereits
       aktiv für Angriffe ausgenutzt.
     * CVE-2021-27065 (CVSS Base Score: 7.8): Dabei handelt es sich
       ebenfalls um eine Schwachstelle, die es AngreiferInnen
       ermöglicht, beliebige Dateien auf dem Exchange Server zu
       erstellen. Erfolgreiches Ausnutzen benötigt lt. Microsoft
       entweder Administrationsrechte oder eine andere Schwachstelle,
       wobei CVE-2021-26855 explizit als Möglichkeit angegeben wird.
       Diese Schwachstelle wird bereits aktiv für Angriffe ausgenutzt.
     * CVE-2021-26412 (CVSS Base Score: 9.1): Dabei handelt es sich um
       eine Remote Code Execution Schwachstelle, zu der keine weiteren
       Details vorliegen. Lt. Microsoft sind derzeit keine Angriffe
       bekannt, in denen diese Lücke ausgenutzt wird.
     * CVE-2021-26854 (CVSS Base Score: 6.6): Dabei handelt es sich um
       eine Remote Code Execution Schwachstelle, zu der keine weiteren
       Details vorliegen. Lt. Microsoft sind derzeit keine Angriffe
       bekannt, in denen diese Lücke ausgenutzt wird.
     * CVE-2021-27078 (CVSS Base Score: 9.1): Dabei handelt es sich um
       eine Remote Code Execution Schwachstelle, zu der keine weiteren
       Details vorliegen. Lt. Microsoft sind derzeit keine Angriffe
       bekannt, in denen diese Lücke ausgenutzt wird.

Auswirkungen

   Die Kombination von CVE-2021-26855 mit einer der anderen
   Schwachstellen ermöglicht die vollständige Übernahme des Exchange
   Servers sowie den Diebstahl des Inhalts sämtlicher E-Mail-Postfächer.

Betroffene Systeme

     * Microsoft Exchange Server 2013
     * Microsoft Exchange Server 2016
     * Microsoft Exchange Server 2019

   Laut Microsoft sind ausschließlich die On-Premise Varianten betroffen
   und nicht Exchange Online.

Abhilfe

   Einspielen der von Microsoft zur Verfügung gestellten Patches. Bitte
   beachten Sie, dass die Patches lediglich für folgende Exchange
   Versionen funktionieren:
     * Exchange Server 2010: RU 31 for Service Pack 3
     * Exchange Server 2013: CU 23
     * Exchange Server 2016: CU 19, CU 18
     * Exchange Server 2019: CU 8, CU 7

   Sollten Sie ältere Versionen betreiben, müssen diese vor dem
   Einspielen der out-of-band Patches auf eine der oben genannten
   Versionen aktualisiert werden.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

Informationsquelle(n):

   Microsoft Exchange Team Blog mit Links zu den Updates

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901
   Meldung des Microsoft Security Response Center

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
   Microsofts Meldung zur Kampagne, die die Schwachstellen bereits
   ausnutzt

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
   Blogpost von Volexity zu den Angriffen

https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/


-- 
// Erik Huemer <huemer at cert.at> - T: +43 1 5056416 767
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - https://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20210303/110a12fd/attachment.sig>

More information about the Warning mailing list