10.04.2020 10:25
CVE-2020-0688: Verwundbare Microsoft Exchange Server in Österreich
Mit CVE-2020-0688 wurde im Februar eine Lücke in Microsoft Exchange Servern gepatched, die AngreiferInnen ermöglicht, beliebigen Code über das Netzwerk auszuführen -- und das mit NT Authority\SYSTEM
also der Windows-Entsprechung von root
. Für eine erfolgreiche Attacke werden zwar gültige Zugangsdaten für einen Mailaccount benötigt, da es bei CVE-2020-0688 aber auch zu einer Privilegieneskaltion kommt, können diese auch unpriviligiert sein. Sollten also auch nur die Login-Daten einer einzigen Person mit einem Postfach am Exchange Server gestohlen werden, können Kriminelle den gesamten Server übernehmen.
Da mittlerweile Exploits für diese Lücke öffentlich verfügbar sind,1 wollten wir überprüfen, wie die Patch-Situation in Österreich aussieht. Zu diesem Zweck haben wir mit Hilfe von shodan.io eine Liste aller IP Adressen erstellt, die dessen Metriken als Exchange Server klassifizieren. Anschließend haben wir daraus jene ausgewählt, die Port 25/TCP und Port 443/TCP offen haben und sie mit einem Testscript von CERT.LV, dem nationalen CERT Lettlands, auf Verwundbarkeit getestet.2 Dieser Test überprüft nur den Versionsstring des Exchange Servers, der in der URL enthalten ist, wenn eine Nutzerin oder ein Nutzer das OWA Interface aufrufen. Anschließend haben wir alle, deren Exchange Server die Updates noch nicht eingespielt haben, darüber informiert.
Insgesamt gab es zum Zeitpunkt unserer Suche laut Shodan 4501 Exchange Server in Österreich, von denen das Script von CERT.LV 1096 als ungepatched identifizierte. Diese verteilen sich folgendermaßen auf die betroffenen Exchange Versionen:
- Exchange Server 2013: 245
- Exchange Server 2016: 767
- Exchange Server 2019: 84
Wir werden diesen Scan in einiger Zeit wiederholen und hoffen, dass sich die Zahlen dann verringert haben.
-
Vgl. z.B. https://github.com/Ridter/cve-2020-0688, https://github.com/Yt1g3r/CVE-2020-0688_EXP und https://github.com/Jumbo-WJB/CVE-2020-0688.↩
-
Diese findet sich ebenfalls auf GitHub, unter https://github.com/cert-lv/CVE-2020-0688.↩