Exchange Server und die aktuellen Sicherheitslücke(n)

Man kann sich als ITler aktuell den Meldungen zu der schweren Sicherheitslücke in Microsoft’s Exchange Server und nicht installierter Updates kaum entziehen.

Microsoft beschrieb den Angriff auf eine 0-Day-Lücke bereits am 02.03.2021, wobei es wohl Angriffe bereits im Januar 2021 gegeben haben soll. Zu einem Massenproblem wurde das Ganze erst dadurch, das der oder die Angreifer in die Breite gegangen sind, sprich: Massenhaft Systeme infiltrierten. Das BSI warnt und die Angelegenheit schafft es in die Nachrichten wie der Tagesschau. Dies zeigt wie gravierend das Problem ist.

Mitunter rufen Lieferanten oder Dienstleister sowie Kollegen an oder es kommen E-Mails zu diesem Thema und welcher Hersteller/Anbieter wie unterstützen kann. Alleine heute z.B. zwei Mails von Server-Eye, eine von EBERTLANG (Exchange-Hack: So helfen ESET und MailStore bei kompromittierten Systemen), usw. Einzig etwas gewundert hat mich, das ich von Securepoint noch nichts gehört habe, im Forum gibt es allerdings bereits einen Thread dazu:

Securepoint Support Forum – Exhange hinter reverseproxy meldung bsi 6.3

Auf Seiten wie die vom heise-Verlag bekommt man ebenfalls jede Menge Informationen:

heise – Exchange-Hack: Welche Maßnahmen Unternehmen jetzt ergreifen müssen

heise – Analyse: Exchange und die Cyber-Abschreckungsspirale

Vor etlichen Jahren habe ich mich bereits vom Exchange Server verabschiedet und helfe nur noch ab und an aus, wenn mal Not am Admin ist, auf dem aktuellen Stand bin ich jedenfalls nicht mehr.

Problemfall: Updates für den Exchange Server

Während das Aktualisieren von Windows und so manch weiteren Microsoft-Produkten über die Windows Updates erfolgt, ist oder zumindest war das beim Exchange Server nicht der Fall. Man muss sich über die jeweilige Admin-Konsole selbst die Versionsnummer heraussuchen und dann gewissermaßen Wissen was diese bedeutet. Hinzu kommt das der Exchange Server aus vielen Komponenten besteht und Abhängigkeiten zu Windows-Diensten/Rollen hat. Insgesamt also recht komplex und aus menschlicher Sicht durchaus nachvollziehbar, wenn einem weniger geübten Exchange-Admin da mal was durchrutscht.

Der MDaemon Email Server oder weitere Produkte wie z.B. Kerio Connect sind da wesentlich kompakter und erheblich einfacher zu Aktualisieren. So muss lediglich ein Setup durchlaufen werden, welches am Beispiel von MDaemon sowohl via CLI oder per integriertem Mechanismus automatisiert werden kann.

Ich drücke jedenfalls allen Kollegen die Daumen, das sie schnell und gut diese Sache hinter sich lassen können und hoffentlich nichts schlimmeres passiert ist bis zum Einspielen der Updates.

Update 13.03.2021 – 1

Dieser Beitrag bei Deskmodder.de wirft (imho) weitere Fragen auf. Microsoft wusste demnach von der Lücke und womöglich durch ein internes Leck kam das Ganze erst so richtig ins Rollen:

Microsoft untersucht Leak beim Angriff auf die Exchange Server

Update 13.03.2021 – 2

Verzeiht mir diesen dummen Spruch, aber der kam mir gerade eben beim Lesen des nachfolgenden Beitrags in den Sinn: „Wenn du denkst es geht nicht mehr, kommt von irgendwie ’ne Ransomware daher.“

heise – Exchange Server: Angreifer nutzen Schwachstellen für Ransomware „DearCry“

Jeder Admin der Exchange Server betreut und gerade mit ungepatchten oder gar bereits infizieten Systemen zu tun hat tut mir aufrichtig Leid. Keep calm & carry on!

Update 16.03.2021

Für alle leidgeprüften Exchange-Admins gibt es weitere Hilfe aus Redmond:

heise – Neues Tool von Microsoft: Exchange-Server mit wenigen Klicks absichern

IT-Administrator – ProxyLogon: Exchange-Server mit einem Klick schützen

Update 22.03.2021

Auch der Windows Defender, sofern genutzt, schließt die Exchange-Lücken:

WindowsPro: Windows Defender schießt Exchange-Schwachstelle CVE-2021-26855 automatisch und räumt Folgen eines Angriffs auf

Letztlich ist das auch nur ein Workaround und es hilft schlichtweg nur Updaten sowie es in Zukunft besser machen!

Ein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.