05.03.2021 12:25

Microsoft Exchange Server - von neuen und alten Schwachstellen

Am 3. März hat Microsoft Notfallpatches gegen bereits aktiv ausgenutzte Lücken der Exchange Server Software veröffentlicht.1 Die Schwachstellen ermöglichen es AngreiferInnen, über das Netzwerk beliebige Befehle mit NTAuthority\SYSTEM auszuführen und den Inhalt sämtlicher E-Mail-Postfächer zu stehlen – Patchen ist also dringend notwendig.

Patchstand zu den aktuellen Schwachstellen

Wir haben via Shodan einfach nach sämtlichen Devices gesucht, die im HTML den String /owa enthielten, um möglichst viele potentielle Exchange Server zu identifizieren. Die Ergebnisse haben wir dann entsprechend der Logik von https://github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange.nse analysiert – dabei sind auch einige der ursprünglichen Treffer als False Positives ausgemustert worden.

Das Ergebnis haben wir zweigeteilt; einmal in Server, die mit sehr hoher Wahrscheinlichkeit verwundbar sind:

Version Anzahl Verwundbar Verwundbar (%)
2010 227 171 75.33%
2013 1608 643 39.99%
2016 4276 2798 65.43%
2019 1394 763 54.73%
Gesamt 7505 4375 58.29%

und einmal in Server, die potentiell verwundbar sind:

Version Anzahl Verwundbar Verwundbar (%)
2010 227 171 75.33%
2013 1608 1608 100%
2016 4276 4276 100%
2019 1394 1394 100%
Gesamt 7505 7449 99.25%

Das “potentiell" ergibt sich in diesem Falle daraus, dass die Patches den Versionsstring, der aus dem OWA auszulesen ist, nicht aktualisieren dürften und daher bei den aktuellen Exchange Versionen auf diesem Weg nicht erkennbar ist, ob sie eingespielt wurden. Entsprechend ist es nicht verwunderlich, dass 100% aller Instanzen potentiell verwundbar sind – die angeblich gepatchten Exchange 2010 Server sind nämlich wahrscheinlich einem Fehler bei der Identifikation geschuldet (s.u.).

Dieser Ansatz ist aus mehreren Gründen nicht perfekt:

  • Die Veröffentlichung der Patches liegt erst zwei Tage zurück, das ist zugegeben extrem wenig Zeit, um sie einzuspielen.

  • Die Daten von Shodan sind z.T. älter als zwei Tage.

  • Wir parsen diese Daten wiederum in eine Datenbank, wodurch eine zusätzliche Verzögerung hinzukommt.

  • Die Logik des NMAP-Scripts (s.o.) dürfte bei Exchange Servern 2010 nicht korrekt sein, da hier Instanzen als gepatcht erscheinen, die das definitiv noch gar nicht sein konnten (die Timestamps von Shodan waren z.T. von Ende Februar)

Es scheint jedenfalls aufgrund der aktuell grassierenden Exploits grundsätzlich gerechtfertigt zu sein, sämtliche Exchange-Server, die aus dem öffentlichen Internet erreichbar sind, als kompromittiert zu betrachten. Es empfiehlt sich daher, auch nach dem Einspielen der Patches die eigene Infrastruktur auf Hintertüren zu überprüfen und diese zu beseitigen.23

Wir haben bereits alle BetreiberInnen von Exchange Servern, die wir identifizieren konnten, kontaktiert.

Alte Schwachstellen leben länger – ein Blick auf CVE-2020-0688

Vor etwa einem Jahr wurde mit CVE-2020-0688 eine schwere Lücke in Microsoft Exchange Servern geschlossen, die ebenfalls zu einer vollständigen Systemübernahme führen konnte und für die innerhalb kurzer Zeit öffentliche Exploits verfügbar waren.

Wir haben bereits im April 2020 und im Oktober 2020 über die Patchstände zu dieser Schwachstelle berichtet und die Ergebnisse waren nicht erfreulich. Im Zuge der aktuellen Ereignisse wollten wir auch prüfen, wie es um diese alte Lücke steht, mit folgendem Ergebnis:

Version Anzahl Verwundbar Verwundbar (%)
Exchange 2013 1609 644 40.02%
Exchange 2016 4297 1636 38.07%
Exchange 2019 1403 209 14.90%
Gesamt 7309 2489 34.05%

Im Oktober 2020 waren es mit fast 50% doch noch um einiges mehr verwundbare Server. Interessant ist in dieser Hinsicht jedenfalls, dass die Logik des Skripts von CERT.LV4 und jene des NMAP Skripts (s.o.) anscheinend leicht verschiedene Metriken anwenden, um Exchange Versionen zu identifizieren, da sie nicht die exakt gleichen Ergebnisse liefern.

Es bleibt damit einerseits festzuhalten, dass auch nach einem Jahr, potentiell noch etwas mehr als ein Drittel aller Instanzen für CVE-2020-0688 anfällig ist und andererseits zu hoffen, dass das Problem sich dadurch lösen wird, dass die aktuellen Updates großflächig und zeitnah eingespielt werden.


    1. Siehe dazu auch unser Warning unter https://cert.at/de/warnungen/2021/3/kritische-sicherheitslucken-in-microsoft-exchange-server-patches-verfugbar.

    2. Dazu finden Sie auf GitHub ein Tool von CERT-LV sowie YARA-Regeln und SIGMA-Regeln.

    3. Microsoft hat ein Script zu Loganalyse veröffentlicht.

    4. Zu finden unter https://github.com/cert-lv/CVE-2020-0688.