Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 8 (17.03.21):
Microsoft hat als Sicherheitsupdates Exchange Server 2016 CU 20 und
Exchange Server 2019 CU 9 zur Behebung der vier Schwachstellen
CVE-2021-27065, CVE-2021-26855, CVE-2021-26857 und CVE-2021-26858
veröffentlicht (siehe Referenz).
Version 7 (17.03.21):
Microsoft informiert über die Veröffentlichung von Sicherheitsupdates zur
Behebung der Schwachstellen CVE-2021-27065, CVE-2021-26855, CVE-2021-26857
und CVE-2021-26858 für Microsoft Exchange Server 2013 Service Pack 1. Die
Updates adressieren ausschließlich diese 4 Schwachstellen.
Version 6 (16.03.21):
Microsoft hat als einfach anzuwendende Sofortmaßnahme das (‘One-Click’)
Microsoft Exchange On-Premises Mitigation Tool (EOMT) veröffentlicht,
welches zumindest auf Exchange Servern 2013, 2016 und 2019 die vorläufige
Mitigation der Schwachstelle CVE-2021-26855 ermöglicht, bis die dringend
empfohlenen Sicherheitsupdates installiert werden können (siehe
Referenzen).
Version 5 (12.03.21):
Microsoft informiert über die Veröffentlichung von Sicherheitsupdates zur
Behebung der Schwachstellen CVE-2021-27065, CVE-2021-26855, CVE-2021-26857
und CVE-2021-26858 für eine Reihe weiterer Cumulative Updates, die nicht
mehr offiziell unterstützt sind, wie etwa Exchange Server 2019 CU 2 und CU
1 sowie Exchange Server 2016 CU 11, CU 10, CU 9 und CU 8. Die Updates
adressieren ausschließlich diese 4 Schwachstellen. Die aktuelle Version
des von Microsoft bereitgestellten HAFNIUM-Test-Tools steht in Github zur
Verfügung (siehe Referenz ‘Microsoft Test-Hafnium-Skript’).
Version 4 (11.03.21):
Microsoft informiert über die Veröffentlichung von Sicherheitsupdates zur
Behebung der Schwachstellen CVE-2021-27065, CVE-2021-26855, CVE-2021-26857
und CVE-2021-26858 für eine Reihe weiterer Cumulative Updates, die nicht
mehr offiziell unterstützt sind, wie etwa Exchange Server 2019 CU 3,
Exchange Server 2016 CU 17, CU 13 und CU12 sowie Exchange Server 2013 CU
22 und CU 21. Kunden sollten diese Updates unbedingt installieren, um vor
den 4 Schwachstellen geschützt zu sein. Das BSI empfiehlt das von
Microsoft bereitgestellte Tool, um auf etwaige Kompromittierungen zu
prüfen (für weitere Informationen siehe Microsoft-Referenz ‘HAFNIUM’).
Version 3 (09.03.21):
Microsoft informiert über die Veröffentlichung von Sicherheitsupdates zur
Behebung der Schwachstellen CVE-2021-27065, CVE-2021-26855, CVE-2021-26857
und CVE-2021-26858 für eine Reihe von Cumulative Updates, die nicht mehr
offiziell unterstützt sind, wie etwa Exchange Server 2019 CU 6, CU 5 und
CU 4 sowie Exchange Server 2016 CU 16, CU 15 und CU14. Kunden sollten
diese Updates unbedingt installieren, um vor den 4 Schwachstellen
geschützt zu sein. Im Übrigen wird ein Update auf unterstützte Cumulative
Updates empfohlen.
Version 2 (05.03.21):
Wie das BSI berichtet, sind inzwischen zahlreiche Meldungen über
kompromittierte Microsoft Exchange Server eingegangen. Angreifbar sind
insbesondere direkt aus dem Internet erreichbare Exchange Server, z. B.
über Outlook Web Access (OWA). In Deutschland sollen potenziell Zig-
Tausende Exchange Server verwundbar sein, wie ein Scan der Server-
Suchmaschine Shodan angezeigt hat. Es wird daher dringend empfohlen,
verwundbare Exchange Server umgehend zu patchen oder zumindest den Zugriff
aus dem Internet zu blockieren. Microsoft gibt in einer Aktualisierung
seines Blog-Artikels ‘HAFNIUM targeting Exchange Servers with 0-day
exploits’ Hinweise wie auf eine Kompromittierung geprüft werden kann.
Version 1 (03.03.21):
Neues Advisory
Ein Angreifer, der in vielen Fällen über erweiterte Privilegien verfügen
muss, kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen
Programmcode auszuführen und einen Server-Side-Request-Forgery
(SSRF)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere
Schwachstellen lokal ausnutzen, um beliebigen Programmcode auszuführen, u.
a. mit ‘SYSTEM’-Rechten. Mehrere Schwachstellen erfordern die Interaktion
eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann
Einfluss auf andere Komponenten haben.
Mehrere Schwachstellen werden als kritisch (critical) eingestuft. Die
Schwachstelle CVE-2021-26855 und in der Folge die Schwachstellen
CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 werden bereits von der
Gruppe HAFNIUM aktiv ausgenutzt (siehe Referenzen).
Im Rahmen eines außerordentlichen Patch-Releases stellt Microsoft für
Exchange Server 2010 SP3, Exchange Server 2013 Cumulative Update 23,
Exchange Server 2016 Cumulative Update 18 und 19 sowie Exchange Server 2019
Cumulative Update 7 und 8 Sicherheitsupdates zur Behebung der Schwachstellen
zur Verfügung. Die veröffentlichten Sicherheitsupdates können im Microsoft
Security Update Guide über die Kategorie ‘Exchange Server’ identifiziert
werden.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2021-0454]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
