09.10.2020 13:30
Microsoft Exchange CVE-2020-0688 Revisited -- in zwei Akten
Akt 1: Die Geschichte wiederholt sich
Im April veröffentlichten wir einen Blogpost über Microsoft Exchange Server, die für die bereits im Februar 2020 gepatchte Lücke CVE-2020-0688 anfällig waren. Details zur Schwachstelle und unserer Methodik können an dieser Stelle nachgelesen werden. Wir haben eine kürzlich veröffentlichte Pressemitteilung des deutschen BSI (Bundesamt für Sicherheit in der Informationstechnik), in der davor gewarnt wird, dass nach wie vor zahlreiche Exchange Server in Deutschland das Update nicht eingespielt haben, zum Anlass genommen, uns die Situation in Österreich noch einmal anzusehen.1 Das Resultat sieht wie folgt aus:
Insgesamt hat Shodan 3812 Exchange Server in Österreich identifiziert, von denen das Script von CERT-LV2 812 als nach wie vor potentiell für CVE-2020-0688 verwundbar klassifiziert. Nach Exchange Versionen differenziert ergibt sich folgendes Bild:
- Exchange Server 2013: 188
- Exchange Server 2016: 550
- Exchange Server 2019: 74
Das scheint initial ein wenig besser zu sein als die Zahlen im April; sieht man sich die Verhältnisse an, zeigt sich, dass die Entwicklung wirklich nur sehr zögerlich vorangeht: Während im April 1096 von 4501, d.h. ~24% der Instanzen potentiell verwundbar waren, sind es aktuell rund 21%, also ein Rückgang im unteren einstelligen Prozentbereich.
Eine genauere Analyse der aktuellen Ergebnisse zeichnete jedoch ein noch unerfreulicheres Bild: Von den 3812 gescannten Servern haben überhaupt nur 1738 (also weniger als die Hälfte) eine Antwort geliefert, anhand derer das Script entscheiden konnte, ob sie potentiell angreifbar sind, oder nicht. Damit wären also 812 von 1738, d.h. fast 47% aller Installationen nach wie vor betroffen. Die genaue Verteilung in diesem Fall ist:
- Exchange Server 2013: 188 von 356 (~53%)
- Exchange Server 2016: 550 von 1056 (~52%)
- Exchange Server 2019: 74 von 326 (~23%)
Da wir im April nicht erhoben haben, wie viele Server überhaupt geantwortet haben, können wir keinen Vergleich anstellen, die Zahlen sind aber so oder so ein klarer Hinweis darauf, dass hier noch einige Updates einzuspielen sind.
Akt 2: Neue Methoden, alte Ergebnisse
Im Zuge der Wiederholung unseres alten Scans haben wir festgestellt, dass unsere Suche von damals nicht alle Exchange Server in Österreich gefunden hat. Wir hatten dabei nur nach Maschinen gesucht, die Shodan als Exchange erkennt – da allerdings auf einem Server oft mehrere Produkte laufen, jede IP Adresse aber nur eine Produktbezeichnung zugeordnet bekommt, wurden dabei einige Instanzen übergangen. Dementsprechend haben wir mit Hilfe des Blogposts von Rapid7 und Informationen von CERT-Bund noch einmal unsere Shodan-Datenbank nach potentiell verwundbaren Installationen durchsucht und folgendes Ergebnis erhalten:
| Gesamt | 6476 | 3108 | 47.99% |
| Version | Anzahl | Verwundbar | Anteil verwundbar |
|---|---|---|---|
| Exchange Server 2013 | 1583 | 863 | 54.52% |
| Exchange Server 2016 | 3868 | 1993 | 51.53% |
| Exchange Server 2019 | 1025 | 252 | 24.59% |
Beide Methoden führen also zu ähnlich schlechten Ergebnissen und aufgrund der prozentual ziemlich exakten Übereinstimmung ist davon auszugehen, dass auch acht Monate nach der Veröffentlichung der Patches fast 50% der Exchange Instanzen in Österreich für CVE-2020-0688 anfällig sind.
Wir haben erneut die BetreiberInnen der jeweiligen Instanzen kontaktiert und sie gebeten, die Updates dringend einzuspielen. Und sollten Sie Personen kennen, die einen Exchange Server einsetzen, fragen Sie sie doch beim nächsten Treffen nach ihrem Update-Status :)
-
Wir haben bereits im Mai einen zweiten Scan durchgeführt, aber da die Ergebnisse quasi identisch mit jenen vom April waren, haben wir damals davon abgesehen, die Ergebnisse zu veröffentlichen. ↩
-
Zu finden unter https://github.com/cert-lv/CVE-2020-0688. ↩