Bereits im März hatten Lücken in Microsofts Exchange Server zur „IT-Bedrohungslage Rot“ geführt. Nun mahnt das BSI zum Patchen, um neue Gefahren abzuwenden. Im Zuge des „Patch Tuesday“ hat Microsoft diese Woche unter anderem Updates für die Exchange Server-Versionen 2013, 2016 und 2019 veröffentlicht, die das E-Mail- und Groupware-System gegen vier kritische Sicherheitslücken absichern sollen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor der großen Gefahr möglicher Angriffe auf die Lücken und ruft eindringlich dazu auf, die verfügbaren Patches schnellstmöglich einzuspielen.
Über die vier Lücken, die von der National Security Agency (NSA) an Microsoft gemeldet worden waren, könnten Angreifer aus der Ferne Schadcode ausführen. Noch sei keine Ausnutzung der Lücken bekannt, heißt es in einem Tweet des BSI. Eine Situation, die sich jederzeit ändern kann: „Da Exchange Server (…) gerade im besonderen Fokus der Angreifer stehen, ist mit einer hohen Wahrscheinlichkeit mit einer baldigen Ausnutzung zu rechnen“, schreibt das BSI in einer parallel zum Tweet veröffentlichten Sicherheitswarnung zu den Exchange-Lücken.
Eine Übersicht über die verfügbaren Updates nebst knappen Informationen zu den teils mit, teils auch ohne Authentifizierung ausnutzbaren Sicherheitslücken liefern Microsofts Advisories:
- CVE-2021-28480: Exchange Server RCE Vulnerability
- CVE-2021-28481: Exchange Server RCE Vulnerability
- CVE-2021-28482: Exchange Server RCE Vulnerability
- CVE-2021-28483: Exchange Server RCE Vulnerability
Aktuelle IT-Bedrohungslage: „Gelb“
In seiner aktuellen Sicherheitswarnung bewertet das BSI die aktuelle Bedrohungslage – im Kontext eines vierstufigen Systems von Grau über Gelb und Orange bis Rot – mit Gelb. Die Beschreibung dazu lautet: „IT-Bedrohungslage mit verstärkter Beobachtung von Auffälligkeiten unter temporärer Beeinträchtigung des Regelbetriebs“.
Anfang März dieses Jahres hatten Exchange-Lücken zu einer Rot-Bewertung geführt. „Damals“ hatte Microsoft erst zu einem Zeitpunkt Updates bereitgestellt, als bereits Angriffe liefen. In der Konsequenz waren allein in Deutschland zehntausende Rechner auf Basis der Lücken über das Internet angreifbar; weltweit sollen hunderttausende Systeme von der Hackergruppe „Hafnium“ übernommen worden sein. Diesmal haben Admins die Chance, präventiv zu handeln. Ein Zusammenhang zwischen den Lücken von März und den aktuellen Lücken ist laut BSI bislang übrigens nicht bekannt.
Weitere Exchange-Lücken-Patches zu erwarten
Gebannt ist die Gefahr von Angriffen auf Exchange-Schwachstellen auch mit den aktuellen Patches nicht: Im Rahmen des Hackerwettbewerbs Pwn2Own 2021 haben gleich drei Forscher-Teams Exchange Server angegriffen – einmal mit vollem, zweimal mit teilweisem Erfolg. Details dazu sind einem Blogeintrag der Zero Day Initiative (ZDI) zu entnehmen, der die Ergebnisse des Wettbewerbs aufführt. Dort heißt es:
- The DEVCORE team combined an authentication bypass and a local privilege escalation to complete take over the Exchange server.
- Team Viettel successfully demonstrated their code execution on the Exchange server, but some of the bugs they used in their exploit chain had been previously reported in the contest.
- Although Steven did use two unique bugs in his demonstration, this attempt was a partial win due to the Man-in-the-Middle aspect of the exploit.
Die ZDI räumt Unternehmen jeweils 90 Tage Zeit ein, um Patches zu entwickeln, bevor Details zu den Exploits veröffentlicht werden. Somit ist zu hoffen, dass Microsoft derzeit an den nächsten Sicherheitsupdates für Exchange Server werkelt und diese bestenfalls fertig stellt, bevor die Bedrohungslage erneut von Grau nach Gelb wechselt.
Quelle: Heise Security