Seit ein paar Tagen macht eine Problematik die Runde, die als Exchange ProxyToken bekannt wurde. Es ist einfach nur noch ermüdend, wenn wir das Alles so sehen. Es dreht sich mal wieder alles um eine „Vulnerability“, eine Schwachstelle, ein Leck, eine Unzulänglichkeit. Und wenn ich mir das Alles in letzter Zeit so anschaue, dann glaube ich nicht, dass es so bald besser werden wird. Ungeachtet der Tatsache, dass ein Exchange Server 2022 kommen wird, bin ich davon überzeugt, dass das Konstrukt nicht mehr lang zu leben hat.
CVE-2021-33766: Exchange ProxyToken
Angreifer haben derzeit die Möglichkeit, an den Exchange Web Services herum zu basteln und sich damit Zugriff auf die ECP, also das Exchange Control Panel, zu verschaffen. Damit haben diese Angreifer die Möglichkeit, Nachrichten und allerlei Daten aus Postfächern zu klauen. Das besondere Schmankerl dabei ist, dass dieser Zugriff auch nicht authentifizierten Angreifern möglich ist. Diese haben dann Zugriff auf die Einstellungen des Postfachs und können Weiterleitungsregeln definieren.
Und das Ganze nennt man dann Exchange ProxyToken. Kein Witz: Wir können uns das Wort „token“ übersetzen und erhalten dabei das Wort „Spielstein“. Sehr gut. Wir spielen also eine Runde „Mensch, ärgere dich nicht“. Das Problem hat Le Xuan Tuyen beim Information Security Center der Vietnam Post and Telecommunication Group entdeckt und gemeldet. Das war im März. Und Ende August tobte auf einmal der Sturm los, dass doch Exchange ein riesiges Problem hat.
Allerdings schauen wir uns dann mal an, was das Microsoft Security Response Center seitdem gemacht hat. Richtig, sie haben auch CVE-2021-33766 gemeldet. Das Problem mit dem Exchange ProxyToken kann man also beheben. Die Lösung heißt: Security-Patch vom Juli 2021. Soll mir bitte niemand sagen, dass Microsoft nicht hinterher ist. Ja, es gibt dieses Problem, dass Authentifizierungsanfragen von den Web Services weitergegeben werden. Aber es wird durch ein Update behoben.
Welche Probleme können auftreten?
Ich habe ja als letztes den Eintrag vom MSRC verlinkt. In diesem gibt es Informationen zur Schwachstelle. Microsoft selbst schreibt, dass eine Ausnutzbarkeit der Schwachstelle wenig wahrscheinlich ist. Dennoch ist es möglich. Wer also Exchange Server in den Versionen 2013 (Bis CU 23), 2016 (bis CU 19 und 20) oder 2019 (bis CU 8 und 9) im Einsatz hat und noch nicht tätig wurde, sollte das unbedingt nachholen. Es gibt für alle drei unterstützten Versionen einen Security Patch. Die sind auch im Artikel verlinkt.
Jetzt ist es aber auch nicht das erste Mal, dass wir so einen Security Patch vielleicht über WSUS angeboten bekommen, ihn aber so nicht installieren sollten. Falls doch, könnte es passieren, dass OWA, ECP, EWS etc. nicht mehr sauber funktionieren. Diese Security Patches – und da macht der Juli-Patch wegen Exchange ProxyToken keinen Unterschied – sollten gesondert installiert werden:
- Wir öffnen eine Eingabeaufforderung als Administrator
- Wir tragen den Pfad zur MSP-Datei in die Kommandozeile (Drag & Drop funktionieren auch)
- Wenn das Update installiert wurde, starten wir neu
- Danach prüfen wir, ob alle Exchange-Dienste laufen. Notfalls starten wir sie und stellen sie auf „Automatisch“
Bevor also Angreifer tatsächlich diese Lücke ausnutzen, können wir das relativ einfach beheben. Aber ich erlebe es immer wieder, dass dann Leute verwundert sind, dass sie nicht über solche Dinge wie WSUS gehen sollen. Aber was will ich denn machen? Es steht ja nun mal hier. Und wenn damit der Exchange ProxyToken behoben wir, ist das doch gut, oder?
Geht das jetzt immer so weiter?
Ich bin ja davon überzeugt, dass Microsoft über kurz oder lang den Exchange Server beerdigen wird. Ganz haben sie es auch dieses Mal noch nicht geschafft. Aber solche Dinge wie der Exchange ProxyToken zeigen mir, dass die Software löchrig wie ein Schweizer Käse ist. Und Microsoft wird irgendwann keine Lust mehr haben, ständig diese CVEs abzuarbeiten. Ich meine, Exchange Online ist ja eben nicht von solchen Dingen betroffen. Oder habt ihr schon von so etwas im Cloud-Umfeld gehört?
Am Ende ist es ja so, dass immer mehr Komponenten mit der Cloud verflochten sind. Irgendwann kommt der Tag, an dem die letzte kritisch der Cloud gegenüberstehende Organisation entweder weg von Microsoft-Produkten ist oder von Microsoft 365 überzeugt werden konnte. Und dann wird der Exchange Server abgelöst werden. Ich bin halt nur gespannt, ob man dann den letzten Exchange Server abschalten kann. Ich erinnere mich da ja an etwas.
Im Übrigen habe ich bereits im Juli von dem Security-Patch erzählt. Wer damals schon das Update installiert hatte, kann sich eh zurücklehnen und muss sich um den Exchange ProxyToken relativ wenige Gedanken machen. Es wird nicht ewig so weitergehen. Irgendwann lässt sich Exchange halt nicht mehr flicken. Aber was dann? Wie geht’s dann weiter? Alle in die Cloud, oder was? Wer weiß, mit wem man das dann durchziehen kann?