Der Microsoft Exchange Server gehört zu den sensiblen Software-Produkten von Microsoft. Da erstaunt es, dass die Sicherheitslücke CVE-2020-0688 noch offen ist. Falls nun jemand daher kommt und sagen würde, dass man ja „nichts anderes aus Redmond erwarten“ könne, muss ich leider mein Bedauern aussprechen. Denn das stimmt so nicht. Dass auf unzähligen Exchange Servern die Sicherheitslücke CVE-2020-0688 nach wie vor nicht geschlossen wurde, ist nicht die Schuld von Microsoft. Denn leider wurden auf Kundenseite die Updates versäumt.
Was bedeutet CVE-2020-0688 eigentlich?
Es handelt sich hierbei um eine Sicherheitsanfälligkeit – oder eben Sicherheitslücke – in Exchange Servern, die es Angreifern ermöglicht, aus der Ferne Code auszuführen. Zugrunde liegt ein Problem, wenn der Server zur Zeit der Installation keinen eindeutigen Sicherheitsschlüssel definieren kann. Hat ein authentifizierter Benutzer von diesem Schlüssel erfahren, kann dieser mithilfe seines Postfachs „Objekte“ übergeben, die dann von der Webanwendung (Welche wird das wohl sein?) ausgeführt werden.
So hochtrabend heißt das Thema. Grundsätzlich sind hier OWA und ECP die Angriffsziele. Und da Exchange sehr weitreichende Berechtigungen in Active Directory hat, kann es eben sehr gut möglich sein, dass über einen solchen Angriff weitreichende Übernahmeversuche im gesamten Organisationsnetzwerks erfolgen können. Web Application Firewalls sind dabei relativ machtlos, da es bei verschiedenen Produkten gar nicht als Angriff gewertet wird.
Dreh- und Angelpunkt bei CVE-2020-0688 sind die Internet Information Services, die Exchange Server benötigt. Diese sind erforderlich, um all die Exchange Web Services anbieten zu können. Einzig, wenn OWA und ECP nicht nach extern präsentiert werden, kommt die Sicherheitslücke CVE-2020-0688 – wegen fehlender Zugänge – freilich gar nicht erst zum Tragen.
Welche Abhilfe gibt es?
Ja, gut, wir haben eben gelernt, dass die Sicherheitslücke gar nicht erst angewendet werden kann, wenn OWA und ECP nicht von extern her erreichbar sind. Aber ehrlich, das ist doch in den seltensten Fällen so. Zumindest Outlook on the Web (also OWA) funkt nach draußen. Wie sollen denn Mitarbeiter sonst ohne Mobilgerät und ohne eingerichtetes Outlook-Profil auf die Firmen-Mails zugreifen können, wenn sie müssen? Also muss es neben der Abschottung noch etwas anderes geben.
Und in der Tat, für Exchange Server 2016 und 2019 gibt es das Update KB4536987. Nebenbei: Für Exchange Server 2013 gibt es auch ein Update. Und weil wir gerade dabei sind: Auch Exchange Server 2010 hat ein Update spendiert bekommen. Und auch hier gilt: Lesen wir bitte immer, was im Artikel steht. Sonst passiert sowas wie in diesem Artikel. Alle genannten Update stammen vom Februar 2020. Sie stehen zur Verfügung, können heruntergeladen und installiert werden.
Warum dann jetzt der Artikel?
Es gibt also für alle unterstützten Versionen von Exchange Server einen Sicherheitspatch gegen die Sicherheitslücke CVE-2020-0688. Diese Updates sind hinlänglich bekannt, auch die Auswirkungen dazu. Dazu empfehle ich gern diesen Artikel. Diese Updates sind – wie auch in den verlinkten Artikeln beschrieben – mit einer PowerShell, die als Administrator ausgeführt wird, zu installieren und ggf. folgendes danach auszuführen:
cd $exinstall
cd .\Scripts\
.\UpdateCas.ps1Gefolgt von:
.\UpdateConfigFiles.ps1Und zum Schluss:
iisresetNun ist dem Windows Defender ATP Team aufgefallen, dass immernoch viele Exchange-Installationen, insbesondere die mit Zugriffsmöglichkeit von außen, die Updates nicht installiert haben. Das Team konnte feststellen, dass die Lücke CVE-2020-0688 bei fehlendem Update auch ausgenutzt wird. So wurde unter anderem die SAM-Datenbank mit den Benutzerwerten weggespeichert. Außerdem wurde mit ProcDump LSASS nachverfolgt.
Es spricht also sehr viel dafür, Exchange mit diesem Update auszurüsten, falls es nicht schon installiert wurde. Zwar bedeutet dies zusätzlichen Arbeitsaufwand und ggf. ein Wartungsfenster für Exchange. Allerdings muss man hier abwägen. Denn dies ist in jedem Fall günstiger als kompromittierte Nutzerdaten und eine infizierte Umgebung. Wer also das Update noch nicht auf seine Exchange Server gebracht hatte, sollte dies kurzfristig nachholen. Alles andere ist viel zu riskant.
Natürlich ist es in diesem Fall tatsächlich eine Option, über Microsoft 365 laut nachzudenken. Allerdings ist ein Umstieg in die Cloud nicht in jedem Fall möglich oder wünschenswert. Aus diesem Grund ist es doch zu begrüßen, wenn Microsoft auf so etwas wie diese Sicherheitslücke CVE-2020-0688 reagiert und Updates bereitstellt. Installieren muss man sie dann allerdings selbst.