2021-0454: Microsoft Exchange Server: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-03-03 14:17): Neues Advisory
Version 2 (2021-03-05 16:52): Wie das BSI berichtet, sind inzwischen zahlreiche Meldungen über kompromittierte Microsoft Exchange Server eingegangen. Angreifbar sind insbesondere direkt aus dem Internet erreichbare Exchange Server, z. B. über Outlook Web Access (OWA). In Deutschland sollen potenziell Zig-Tausende Exchange Server verwundbar sein, wie ein Scan der Server-Suchmaschine Shodan angezeigt hat. Es wird daher dringend empfohlen, verwundbare Exchange Server umgehend zu patchen oder zumindest den Zugriff aus dem Internet zu blockieren. Microsoft gibt in einer Aktualisierung seines Blog-Artikels 'HAFNIUM targeting Exchange Servers with 0-day exploits' Hinweise wie auf eine Kompromittierung geprüft werden kann.
Version 3 (2021-03-09 09:23): Microsoft informiert über die Veröffentlichung von Sicherheitsupdates zur Behebung der Schwachstellen CVE-2021-27065, CVE-2021-26855, CVE-2021-26857 und CVE-2021-26858 für eine Reihe von Cumulative Updates, die nicht mehr offiziell unterstützt sind, wie etwa Exchange Server 2019 CU 6, CU 5 und CU 4 sowie Exchange Server 2016 CU 16, CU 15 und CU14. Kunden sollten diese Updates unbedingt installieren, um vor den 4 Schwachstellen geschützt zu sein. Im Übrigen wird ein Update auf unterstützte Cumulative Updates empfohlen.
Version 4 (2021-03-11 09:02): Microsoft informiert über die Veröffentlichung von Sicherheitsupdates zur Behebung der Schwachstellen CVE-2021-27065, CVE-2021-26855, CVE-2021-26857 und CVE-2021-26858 für eine Reihe weiterer Cumulative Updates, die nicht mehr offiziell unterstützt sind, wie etwa Exchange Server 2019 CU 3, Exchange Server 2016 CU 17, CU 13 und CU12 sowie Exchange Server 2013 CU 22 und CU 21. Kunden sollten diese Updates unbedingt installieren, um vor den 4 Schwachstellen geschützt zu sein. Das BSI empfiehlt das von Microsoft bereitgestellte Tool, um auf etwaige Kompromittierungen zu prüfen (für weitere Informationen siehe Microsoft-Referenz 'HAFNIUM').
Version 5 (2021-03-12 16:07): Microsoft informiert über die Veröffentlichung von Sicherheitsupdates zur Behebung der Schwachstellen CVE-2021-27065, CVE-2021-26855, CVE-2021-26857 und CVE-2021-26858 für eine Reihe weiterer Cumulative Updates, die nicht mehr offiziell unterstützt sind, wie etwa Exchange Server 2019 CU 2 und CU 1 sowie Exchange Server 2016 CU 11, CU 10, CU 9 und CU 8. Die Updates adressieren ausschließlich diese 4 Schwachstellen. Die aktuelle Version des von Microsoft bereitgestellten HAFNIUM-Test-Tools steht in Github zur Verfügung (siehe Referenz 'Microsoft Test-Hafnium-Skript').
Version 6 (2021-03-16 17:36): Microsoft hat als einfach anzuwendende Sofortmaßnahme das ('One-Click') Microsoft Exchange On-Premises Mitigation Tool (EOMT) veröffentlicht, welches zumindest auf Exchange Servern 2013, 2016 und 2019 die vorläufige Mitigation der Schwachstelle CVE-2021-26855 ermöglicht, bis die dringend empfohlenen Sicherheitsupdates installiert werden können (siehe Referenzen).
Version 7 (2021-03-17 08:55): Microsoft informiert über die Veröffentlichung von Sicherheitsupdates zur Behebung der Schwachstellen CVE-2021-27065, CVE-2021-26855, CVE-2021-26857 und CVE-2021-26858 für Microsoft Exchange Server 2013 Service Pack 1. Die Updates adressieren ausschließlich diese 4 Schwachstellen.
Version 8 (2021-03-17 18:43): Microsoft hat als Sicherheitsupdates Exchange Server 2016 CU 20 und Exchange Server 2019 CU 9 zur Behebung der vier Schwachstellen CVE-2021-27065, CVE-2021-26855, CVE-2021-26857 und CVE-2021-26858 veröffentlicht (siehe Referenz).

Betroffene Software

Middleware
Netzwerk

Betroffene Plattformen

Microsoft

Beschreibung:

Ein Angreifer, der in vielen Fällen über erweiterte Privilegien verfügen muss, kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und einen Server-Side-Request-Forgery (SSRF)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um beliebigen Programmcode auszuführen, u. a. mit 'SYSTEM'-Rechten. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Mehrere Schwachstellen werden als kritisch (critical) eingestuft. Die Schwachstelle CVE-2021-26855 und in der Folge die Schwachstellen CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 werden bereits von der Gruppe HAFNIUM aktiv ausgenutzt (siehe Referenzen).

Im Rahmen eines außerordentlichen Patch-Releases stellt Microsoft für Exchange Server 2010 SP3, Exchange Server 2013 Cumulative Update 23, Exchange Server 2016 Cumulative Update 18 und 19 sowie Exchange Server 2019 Cumulative Update 7 und 8 Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Die veröffentlichten Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Exchange Server' identifiziert werden.