BSI: Sicherheitswarnung zu Lücken in Exchange Server

Wer einen Exchange Server zu administrieren hat, sollte die aktuelle Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor kritischen Lücken in Microsoft Exchange Server jetzt ernst nehmen.

Es wurden zwar schon Updates für diese Anfälligkeiten veröffentlicht, aber nach einer Analyse des BSI sollen noch immer Zehntausende in Deutschland laufende Exchange Server nicht gepatcht sein.

Die drei Exchange-Schwachstellen

Der Behörde geht es vor allem um drei Schwachstellen mit den Kennungen CVE-2020-0688, CVE-2020-0692 und CVE-2020-16875, für die zum Teil sogar schon Exploit-Code öffentlich verfügbar ist. Die Sicherheitslücke CVE-2020-0688 soll aktuell schon für gezielte Angriffe ausgenutzt werden.

Die erstgenannten beiden Schwachstellen gestatten unter Umständen die komplette Kompromittierung eines Exchange Servers bzw. die nicht autorisierte Ausweitung der Benutzerrechte.

Betroffen sind davon Exchange Server 2010, 2013, 2016 und 2019. Durch die dritte Lücke (CVE-2020-16875) lässt sich eventuell auch Schadcode aus der Ferne einschleusen und ausführen (allerdings nur nach vorheriger Authentifizierung). Dies Problem tritt nur bei den Exchange-Server-Versionen 2016 und 2019 auf.

Zusatz-Tipps vom BSI

„Die anfälligen Dienste der Microsoft Exchange Server sollten grundsätzlich nicht öffentlich erreichbar sein. Trotzdem sind nach wie vor viele Exchange-Server über Exchange Web Services öffentlich erreichbar und mehrere Tausend Exchange Server anfällig für CVE-2020-0688“, liest man in der aktuellen Warnung des BSI. „Die von der Firma Rapid 7 veröffentlichten Zahlen konnten seitens des BSI für Deutschland validiert werden und weisen auf ein Grundproblem bei der sicheren Konfiguration und dem Einspielen kritischer Sicherheitsupdates hin.“

Achtung: Supportende für Exchange 2010 in vier Tagen!

In Kooperation mit Netzbetreibern informiert das BSI gerade die Besitzer von verwundbaren und auch über das Internet erreichbaren Exchange-Servern. Es weist auch darauf hin, dass die Version Exchange 2010 am 13. Oktober, also schon in vier Tagen) ihr Supportende erreicht und deshalb mit dem Oktober-Patchday zum letzten Mal Sicherheitsupdates bekommt.

Die als extrem schwerwiegend geltende Schwachstelle CVE-2020-0688 hat Microsoft schon im Februar 2020 geschlossen, genau wie auch die Schwachstelle CVE-2020-0692. Die dritte Schwachstelle CVE-2020-16875 wurde allerdings erst vor einem Monat gepatcht.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, News, Programmierung, Sicherheit, Tipps und Tricks abgelegt und mit , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.