Aktuell gibt es noch viele Exchange Server, welche nicht mit den dringend erforderlichen Sicherheitsupdates versorgt wurden. Dabei geht es nicht nur um die ProxyLogon und ProxyShell Schwachstellen, welche bereits im April durch entsprechende Updates geschlossen wurden, sondern nun auch um die Schwachstelle CVE-2021-42321, welche mit den neusten Exchange Updates geschlossen wurde.
Über die Ausnutzung von ProxyLogon und ProxyShell wird schon seit längeren berichtet. Aktuell warnt beispielsweise TrendMicro vor der Ausnutzung der Schwachstellen:
TrendMicro hat nun beobachtet, dass die oben genannten Schwachstellen verwendet werden, um Spam Mails vom eigenen Exchange Server an die Benutzer zu schicken. Für viele Benutzer fällt somit das wichtigste Kriterium weg um eine Mail als Spam oder Malware zu erkennen: Die Absender E-Mail Adresse stammt aus dem eignen Unternehmen. Auf diesem Weg lassen sich auch die meisten Spam-Filter umgehen, denn der eigene Exchange Server ist hier meist als Ausnahme konfiguriert.
Aber auch das CERT-Bund hat bereits auf viele verwundbare Exchange Server hingewiesen.
Für die Schwachstelle CVE-2021-42321 ist jetzt ein Exploit öffentlich verfügbar:
Es wird also nicht lange dauern, bis auch diese Schwachstelle massenhaft automatisiert angegriffen wird.
Exchange Server verfügen über sehr weitreichende Berechtigungen im Active Directory, daher ist es hier unbedingt nötig, die verfügbaren Updates zu installieren. Es besteht die Gefahr, dass durch die Ausnutzung der Schwachstellen auch Ransomware den Weg in das Netzwerk findet. CVE-2021-42321 bietet dazu alle Voraussetzungen, in diesem Fall ist dazu keine Benutzeraktion notwendig und durch die weitreichenden Berechtigungen könnte sich eine Ransomware im gesamten Netzwerk ausbreiten. Aufgrund von Autodiscover, sind Exchange Server sehr leicht im Internet auszufinden, dies erleichtert automatisierte und massenhaft durchgeführte Angriffe noch weiter.
Noch ein wichtiger Hinweis: Microsoft veröffentlicht Sicherheitsupdates immer nur für das aktuelle- und das Vorgänger-CU. Die Updates aus November gibt es daher beispielsweise für Exchange 2016 CU21 und CU22. Dies heißt aber nicht, dass CU20 oder niedriger nicht von der Schwachstelle betroffen ist. Wer Exchange Server mit älteren CU betreibt, muss also zunächst ein unterstütztes CU installieren, für Exchange 2016 ist dies beispielsweise das aktuelle CU22. Danach muss das verfügbare Sicherheitsupdate installiert werden.
Seit Anfang des Jahres gab es mehrere kritische Schwachstellen in Exchange Server, welche auch aktiv ausgenutzt werden. Es ist daher unbedingt erforderlich, dass die verfügbaren Updates auch installiert werden. Hier mal der Screenshot eines Lesers, was passiert, wenn auf einem Exchange Server nicht die aktuellen Updates installiert werden:
Das komplette Active Directory musste in diesem Fall übrigens neu installiert werden.