Wer auch einen Exchange Server administriert, sollte die Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor kritischen Lücken in Microsoft Exchange Server jetzt ernst nehmen.
Es liegen zwar schon Updates für diese Anfälligkeiten vor, aber nach einer Analyse des BSI sollen immer noch Zehntausende in Deutschland betriebene Exchange Server ungepatcht sein.
Die drei Schwachstellen im Detail
Dabei geht es der Behörde vor allem um die drei Schwachstellen mit den Kennungen CVE-2020-0688, CVE-2020-0692 und CVE-2020-16875, für die zum Teil schon Exploit-Code öffentlich verfügbar ist. Die Sicherheitslücke CVE-2020-0688 soll sogar schon für gezielte Angriffe ausgenutzt werden.
Die erstgenannten zwei Lücken erlauben unter Umständen die vollständige Kompromittierung eines Exchange Servers bzw. die nicht autorisierte Ausweitung der Benutzerrechten.
Davon betroffen sind Exchange Server 2010, 2013, 2016 und 2019. Über die dritte Lücke (CVE-2020-16875) lässt sich möglicherweise auch Schadcode aus der Ferne einschleusen und ausführen – allerdings nur nach vorheriger korrekter Authentifizierung. Dies Problem tritt beim Exchange Server Version 2016 und 2019 auf.
Tipps vom BSI
„Die anfälligen Dienste der Microsoft Exchange Server sollten grundsätzlich nicht öffentlich erreichbar sein. Trotzdem sind nach wie vor viele Exchange-Server über Exchange Web Services öffentlich erreichbar und mehrere Tausend Exchange Server anfällig für CVE-2020-0688“, steht in der aktuellen Warnung des BSI. „Die von der Firma Rapid 7 veröffentlichten Zahlen konnten seitens des BSI für Deutschland validiert werden und weisen auf ein Grundproblem bei der sicheren Konfiguration und dem Einspielen kritischer Sicherheitsupdates hin.“
Supportende für Exchange 2010 in einer Woche
Zusammen mit Netzbetreibern informiert das BSI jetzt die Besitzer von verwundbaren und auch über das Internet erreichbaren Exchange-Servern. Es weist auch darauf hin, dass Exchange 2010 am 13. Oktober sein Supportende erreicht und deshalb mit dem Oktober-Patchday letztmalig sicherheitsrelevante Updates erhält.
Die als sehr schwerwiegend eingestufte Schwachstelle CVE-2020-0688 hat Microsoft schon im Februar 2020 geschlossen, ebenso die Schwachstelle CVE-2020-0692. Die dritte Schwachstelle CVE-2020-16875 wurde aber erst im September gepatcht.