Microsoft Exchange Server mit erneut kritischer Lücke: CU-Update April 2021 verfügbar
Wir erinnern uns an die riesige Sicherheitslücke des Microsoft Exchange Server Anfang März. Nun gibt es ein erneutes Sicherheitsupdate für ein Sicherheitsproblem beim populären Mailserver von Microsoft. Eine vor ein paar Tagen entdeckte Lücke wird hiermit behoben. Das BSI warnt bereits.
Auf der Pwn2Own 2021 haben Teilnehmer aus aller Welt versucht, Sicherheitslücken in bekannten Systemen aufzuspüren und diese zu übernehmen. Auch der Exchange Server stand – mal wieder (wir erinnern uns: Anfang März) – im Fokus und wurde im Rahmen der Veranstaltung auch erfolgreich übernommen. Die Lücken hat man anschließend an Microsoft übermittelt, derzeit sind noch keine erfolgten Angriffe bekannt. Ebenso sind die Lücken noch nicht öffentlich. Wie wir aber wissen, kann eine Ausnutzung so einer Lücke aber ziemlich schnell gehen. Microsoft hat also die neuen Sicherheitspatches mit heutigem Tag vor knapp einer Stunde veröffentlicht und behebt dabei vier Lücken. Die neu gemeldeten Lücken von Pwn2Own wurden damit aber noch nicht behoben – Patches dazu werden wohl im Mai eintreffen. Diese werden dann erneut kritisch betrachtet werden:
Microsoft Exchange Server: Sicherheitspatch für April 2021 herunterladen
Auch das BSI warnt bereits vor den Sicherheitslücken und empfiehlt dringend, die Updates einzuspielen. Im Dokument des BSI gibt es dazu weiterführende Informationen. Hier sollten Admins nun wirklich hellhörig werden, wenn man an den Vorfall von Anfang März denkt, wo mehrere 100.000 Exchange Server aus aller Welt übernommen wurden. Zur aktuellen Lücke heißt es:
The DEVCORE team combined an authentication bypass and a local privilege escalation to complete take over the Exchange server.
Team Viettel successfully demonstrated their code execution on the Exchange server, but some of the bugs they used in their exploit chain had been previously reported in the contest. This counts as a partial win but does get them 7.5 Master of Pwn points.
Für Exchange Server 2013 (CU23), 2016 (CU19, CU20) und 2019 (CU8, CU9) sind Aktualisierungen verfügbar. Die jeweiligen Links zu den Updates haben wir bei der entsprechenden CU direkt verlinkt. Microsoft weist ebenso darauf hin, diese Updates über eine Eingabeaufforderung mit Admin-Rechten zu starten. So wird die CMD mit Rechtsklick -> „Als Administrator ausführen“ gestartet und anschließend der Pfad des Update-Files direkt angewählt.
Sollte für die eingesetzte Version kein Update zur Verfügung stehen, muss zuerst auf eine unterstützte CU aktualisiert werden. Anschließend kann das Sicherheitsupdate eingespielt werden. Alle anderen Server sind ungeschützt.
Alternativ steht das Update auch über Windows Update zur Verfügung, welches wie gewohnt aber nicht immer ganz zuverlässig ist. Wer aber auf Nummer sicher gehen möchte, installiert den Patch direkt. Auf ein Backup vorher auch nicht vergessen. Und dieses Mal am besten wirklich noch heute Abend eine Nachtschicht einlegen, bevor es zu bösen Überraschungen wie Anfang März kommt.
Moin David,
eventuell sollte man nochmal erwähnen, dass die PWN2OWN Lücken mit den letzten Patches vom Exchange nicht geschlossen worden sind.
MfG der Seb
Hallo Seb,
danke für den Hinweis! Das stimmt natürlich, habe das im Artikel konkretisiert.
LG, David von TechnikNews