Kritische Sicherheitslücken in Exchange Servern

1.PNG

Vor kurzem sind Sicherheitsexperten auf 3 kritische Sicherheitslücken, nämlich CVE-2020-0688, CVE-2020-0692 und CVE-2020-16875, in Exchange Servern gestoßen. Das Bundesamt für Sicherheit in der Informationstechnik stuft diese unter der zweithöchsten Stufe (Stufe 3/Orange) ein. Des Weiteren wurden bereits gezielt Angriffe auf zumindest eine dieser Sicherheitslücken (CVE-2020-0688) entdeckt.

Was ermöglichen diese Lücken einem Angreifer?

  • CVE-2020-0688 ist eine Schwachstelle im Static Key des Exchange Control Panel (ECP), welches mittels eines gestohlenen E-Mail-Kontos zur volle Systemübernahme genutzt werden kann.

  • CVE-2020-0692 erlaubt dem Angreifer, sofern Exchange Web Services (EWS) aktiviert ist, mittels Parameteränderung im Security Access Token die Administrator Rechte zu erhalten.

  • CVE-2020-16875 wird durch eine fehlerhafte Argument-Validierung des NewDlpPolicy Befehls hervorgerufen. Sie ermöglicht es dem Angreifer, nach vorheriger Authentifizierung, beliebigen Code als System-Nutzer auszuführen.

Bin ich von diesen Lücken betroffen?

CVE-2020-0688 und CVE-2020-0692 betreffen folgende Exchange Versionen:

  • Microsoft Exchange Server 2010  <  SP3 und Update RU 30

  • Microsoft Exchange Server 2013  <  Cummulative Update 23

  • Microsoft Exchange Server 2016  <  Cummulative Update 14

  • Microsoft Exchange Server 2019  <  Cummulative Update 3

CVE-2020-16875 betrifft folgende Exchange Versionen:

  • Microsoft Exchange Server 2016  <  Cummulative Update 16

  • Microsoft Exchange Server 2019  <  Cummulative Update 5

Wie kann Exchange Server vor den Lücken geschützt werden?

Grundsätzlich sollten betroffene Exchange Server nicht öffentlich erreichbar sein, um dieser geschäftskritischen Bedrohung entgegenzuwirken. Sollte Exchange jedoch öffentlich erreichbar sein, wird dringend empfohlen zu überprüfen, ob eine der im vorigen Teil erwähnten Versionen von Exchange eingesetzt wird und diese schnellstmöglich zu aktualisieren. Um das Risiko weiter zu minimieren, sollte die Erreichbarkeit auf nur unbedingt notwendige Protokolle, Netze und Personen reduziert werden.

Weiterhin weist das BSI darauf hin, dass Exchange 2010 am 13. Oktober 2020 den End of Support (EoS) Status erreicht. Ab diesem Zeitpunkt werden keinerlei Sicherheitsupdates mehr zur Verfügung gestellt. Auch das EoS-Datum für Exchange 2013 steht bereits fest (11. April 2023). Um sicher zu stellen, dass zukünftig Updates für kritische Sicherheitslücken angewendet werden können, sollten Exchange 2013 nutzende Organisationen zeitnah mit der Migrationsplanung beginnen.
— Bundesamt für Sicherheit in der Informatiostechnik, CSW-Nr. 2020-252437-10k1, Version 1.0, 05.10.2020