Sicherheitslücke bei der Remotecodeausführung
Ungepatchte Microsoft Exchange Server sind Ziel für Cyber-Akteure!
Bei Microsoft Exchange Servern besteht eine Sicherheitslücke bei der Remotecodeausführung, bekannt als CVE-2020-0688, wenn der Server bei der Installation nicht in der Lage ist, eindeutige Schlüssel zu erstellen. Die Kenntnis des Validierungsschlüssels ermöglicht es einem authentifizierten Benutzer mit einem Postfach, beliebige Objekte zu übergeben.
Handeln Sie jetzt! Patchen Sie Ihre Server!
Obwohl Microsoft die Schwachstelle aufgedeckt und bereits im Februar 2020 Software-Patches für die verschiedenen betroffenen Produkte (Microsoft Exchange 2010, 2013, 2016 und 2019) zur Verfügung gestellt hat, zielen fortgeschrittene, hartnäckige Bedrohungsakteure nach jüngsten Open-Source-Berichten auf nicht gepatchte Server ab.
Angreifer können die Sicherheitslücke eines anfälligen Exchange-Server ausnutzen, wenn die folgenden drei Kriterien erfüllt sind:
- Der Exchange-Server wurde seit dem 11. Februar 2020 nicht mehr gepatcht.
- Die Schnittstelle des Exchange Control Panels (ECP) war für den Angreifer zugänglich.
- Der Angreifer verfügt über den Zugriff auf das Exchange Control Panel, um den ViewStateKey aus dem authentifizierten Sitzungs-Cookie sowie den __VIEWSTATEGENERATOR-Wert aus einem verborgenen Feld innerhalb der Seitenquelle zu erfassen. Die vom Angreifer genutzte Referenz muss dabei nicht hochprivilegiert sein oder über einen ECP-Zugriff verfügen.
Installieren Sie die notwendigen Patches so schnell wie möglich . Das Sicherheitsupdate behebt die Schwachstelle, indem es korrigiert, wie Microsoft Exchange die Schlüssel während der Installation erstellt.
Ist Ihr Exchange Server betroffen?
Wenn Sie Bedenken haben, dass Ihr Exchange Server Ziel eines Angriffs gewesen oder gefährdet sein könnte, gibt es eine Handvoll Verzeichnisse und Ressourcen auf Ihrem Exchange-Server, die untersucht werden können und herauszufinden, ob es verdächtige Aktivitäten gegeben hat. Dazu zählen beispielsweise das Exchange Server-Ausnahmeprotokoll, das Anwendungs-Ereignisprotokoll, IIS-Protokolle, Web-Verzeichnisse und zusätzliche Merkmale wie die Überwachung verschiedener Prozesse.
Seien Sie wachsam!
Grundsätzlich gilt, dass das Aufspielen von Sicherheitspatches die beste Verteidigung für Ihr Unternehmen ist. Darüber hinaus empfehlen wir immer wieder die Beschränkung der Zugriffskontrollliste (ACL) auf das virtuelle ECP-Verzeichnis im IIS und/oder über jede Webanwendungs-Firewall-Fähigkeit. Das ECP-Verzeichnis sollte für niemanden zugänglich sein, der nicht explizit darauf zugreifen muss. Zudem ist es angebracht, Passwörter ablaufen und von den Benutzern regelmäßig aktualisieren zu lassen. Außerdem sollten Sie Konten sperren, die nicht mehr benötigt werden oder die über einen längeren Zeitraum (z.B. mehr als 90 Tage) inaktiv geblieben sind.
Mit SCHWARZ auf der sicheren Seite!
Sie sind sich nicht sicher, ob es in Ihrem Unternehmen Sicherheitslücken gibt? Oder befürchten, dass es bereits eine Sicherheitsverletzung gegeben hat? Wir helfen Ihnen weiter und bieten Ihnen über unser SCHWARZ Sicherheitskonzept weitere, elementare präventive Maßnahmen. Gerne informieren wir Sie – sprechen Sie uns an. Wilhelm Fritz ist Ihr Sicherheitsexperte.