Exchange-LĂĽcke: Immer noch viele Server offen
Einen Monat nachdem heise Security ĂĽber die dramatische Zahl an verwundbaren Systemen berichtete, hat sich die Situation zwar verbessert, aber nicht entspannt.
Seit Februar ist eine gefährliche Lücke in Exchange bekannt, für die in Deutschland immer noch mindestens 32.000 Server anfällig sind. Seit heise Security vor einem Monat auf die dramatische Situation beim Exchange-Patch-Stand aufmerksam machte und das BSI Betroffene informiert, haben etwa 25% der Betreiber reagiert. Doch die digitale Existenz von über 30.000 deutschen Unternehmen hängt immer noch an einem seidenen Faden.
Unsere Gespräche mit Exchange-Administratoren haben auch eine plausible Erklärung dafür zu Tage gefördert, warum so viele Systeme die wichtigen Security-Updates nicht erhalten. Denn eigentlich gibt es mit WSUS ein weitgehend automatisiertes Update-System für Microsoft-Systeme in Firmenumgebungen. Der Admin wird über anstehende Sicherheits-Update informiert und muss diese lediglich genehmigen, um sie einzuspielen.
Die Update-Falle CU
Doch seit Exchange 2013 gibt es vierteljährliche Cumulative Updates (CU), die so etwas wie Service Packs darstellen. Diese erscheinen nicht im WSUS und können nur von Hand installiert werden. Dabei ist jedes CU quasi eine volle Exchange-Installation, die auch neue Funktionen enthalten kann und sich nicht rückgängig machen lässt. Vor der Installation dieser CUs scheuen deshalb viele Admins aus verschiedensten Gründen zurück.
Das Problem ist jedoch, dass Micrsosoft Sicherheits-Updates jeweils nur für das aktuelle CU und dessen Vorgänger bereit stellt – also nur für Systeme, die maximal ein halbes Jahr alt sind. Bei CVE-2020-0688 in Exchange 2016 zum Beispiel gibt es die lebenswichtigen Patches nur für CU14 und CU15 (die späteren CUs enthalten das Update bereits). Wer also seit dem 17. September 2019 kein CU von Hand eingespielt hat, bekommt dieses wichtige Sicherheits-Update im WSUS gar nicht zu Gesicht. Der Server erscheint dort grün, obwohl ihm wichtige Sicherheits-Updates fehlen.
Die Situation ist ernst; die Lücke wird bereits aktiv ausgenutzt. Wer also einen Microsoft Exchange Server administriert, sollte jetzt sofort nachprüfen, ob er sich auf einem aktuellen CU-Stand befindet. Wenn nicht, sollte er das baldmöglichst ändern. Und dann auch gleich Zeit einplanen, diesen Vorgang vierteljährlich zu wiederholen.
Siehe dazu auch auf heise Security:
- Exchange-LĂĽcke: Fast 40.000 deutsche Unternehmen spielen Russisch Roulette
- Dringend patchen: Rund eine viertel Million Exchange-Server angreifbar
(ju)