MS11-025

Mit einem Blogeintrag hat Microsoft auf eine Sicherheitslücke aller Exchange Server aufmerksam gemacht. Genau genommen ist es die Visual Studio C 2010 Runtime, die durch das Exchange Setup mit einer alten Version so überschrieben wurde dass Windows Update dies nicht erkannt und den notwendigen Patch installiert. Das sollten Sie umgehend manuell nachholen. Erst alle Exchange Installationsquellen ab Oktober 2018 (also Exchange 2019, Exchange 2016CU11 etc.) enthalten die neue Version.

Worum geht es

Die wesentlichen Informationen hat Microsoft in seinem Exchange Team Blog veröffentlicht:

Kurz zusammengefasst geht es um folgende Punkte:

  • Microsoft stuft die folgenden Aktionen als erforderlich ein, um die Sicherheit der Exchange Server zu gewährleisten
    Auch wenn das Advisors MS11-025 das Risiko als "Low/Medium" einstuft und es aktuell keine Hinweise gibt, dass die Lücke bislang ausgenutzt wurde. Nun aber "weiß" jeder Angreifer, dass ein Exchange Server diese Lücke noch haben könnte.
  • Die erforderlichen Updates werden weder durch Windows Update noch durch WSUS automatisch angewendet
    Wobei ich mich schon frage, warum eigentlich nicht?
  • Es betrifft alle Exchange Server, die vor dem Oktober 2018 installiert wurde
    Die Installationsmedien enthalten einfach die alten DLLs und überschreiben sogar bereits aktualisierte Systeme. Erst Exchange Updates ab Oktober 2018 überschreiben keine Visual Studio DLLs mehr. Stattdessen prüfen die neueren Setups die Voraussetzungen und überlassen ihnen die Vorbereitung.
  • Die Installation des Updates erfordert angeblich keinen Reboot und die Dienste müssen nicht beendet werden

Das kann ich so nicht bestätigen. Ein Teil meiner Systeme wollte sehr wohl einen Reboot

Der Fehler liegt also im Exchange Team, die in ihre Installationsquellen eine veraltete Version der VC2010 Runtime gepackt haben.

Aus meiner Sicht ist es aber auch ein Design-Fehler von Windows Update, dass es diese alte DLL nicht prüft/findet und das Update melden.

Aber letztlich ist egal, wer nun Schuld ist und warum das so lange unentdeckt bliebt. Sie sollten das Update installieren, wenn erforderlich. Aber dazu schauen wir lieber erst mal genauer hin

Version prüfen

Der Blog-Eintrag rät direkt zur Installation des Updates. Angeblich muss man dazu nicht mal die Exchange Dienste beenden oder den Server durchstarten. Man könnte auch vermuten, dass das Exchange Setup diese Komponente zwar noch installiert, aber Exchange den Code gar nicht mehr anspricht. Dennoch ist er drauf und da die VCRuntime2010 auch von anderen Programmen genutzt werden kann, ist ein Blick auf Exchange Server aber auch andere Server interessant. Das "Problem" könnten ja auch andere Server haben.

Es geht um die Visual Studio Runtime 2010, die im Jahr 2011 das letzte mal aktualisiert wurde. Exchange installiert eine Version aus dem März 2011, wie auch recht einfach am Dateidatum zu sehen ist:

Auch in der Systemsteuerung - Programme ist die Versionsnummer zu sehen

Diese Version hat die Lücke, von der ich bis heute allerdings noch nichts gesehen habe, wie sie ausgenutzt werden kann. Man muss wohl auf dem Server einen Schadcode laden. Inwieweit ein Exchange Server "über das Internet" angreifbar ist, der nur über HTTPS und SMTP erreichbar ist. kann ich nicht einschätzen. Aber die meisten erfolgreichen Angriffe kommen ja eh von innen und dann noch durch einen unvorsichtigen Administrator, habe ich mir sagen lassen.

Sie müssen aber nicht per GUI die Version prüfen. Das geht auch per PowerShell

(get-item c:\windows\system32\mfc100.dll).versioninfo.ProductBuildPart -lt 40219

Wer also mehrere Server hat, kann dies auch durch eine Schleife senden.

get-exchangeserver | foreach {
   write-host "Checking Server $($_.name)" -nonewline
   (get-item "\\$($_)\admin$\system32\mfc100.dll").versioninfo.ProductBuildPart -lt 40219 
}

Oder sie starten mal schnell ein Inventory mit SCCOM oder der Managementlösung ihrer Wahl.

Update

Daher ist Updaten schon wichtig. Laden Sie sich einfach die wenigen Megabyte von Microsoft herunter und installieren Sie diese. Das Exchange Team Blog schreibt dazu aber, dass kein Neustart des Servers erforderlich sei. Das war bei mir allerdings nicht so. Alle Server und auch Verwaltungssysteme mit der veralteten Version, haben nach der Installation des Security Update einen Neustart erwartet.

Das Update ist 9.8 MB groß und eine Vollinstallation

Microsoft Visual C++ 2010 Service Pack 1 Redistributable Package MFC Security Update
https://www.microsoft.com/en-us/download/details.aspx?id=26999

Interessanterweise ist Windows 2012 und höher nicht mehr auf der „Supported“ Liste. Aber auch hier ist das update erforderlich.

Nachkontrolle

Der Erfolg der Installation können Sie zum Einen über die Auslistung der Programme prüfen. Das ist aber auch nur ein Check der Einträge in der Registrierung.

Im Explorer sehen Sie auch das Datum und können sich die Dateiversion mit einblenden lassen.

Mit ist es daher lieber, die Dateien selbst anzuschauen. Wer das Explorer-Fenster von damals noch offen hat, sieht sofort die Veränderung.

Weitere Links