BSI CSW-Nr. 2024-223455-1032
Das BSI ist die "Sicherheitsbehörde für Deutschland" beschäftigt sich auch mit Exchange Servern und warnt deutlich vor vor veralteten und unsicheren Servern. Leider "hören" zu viele Administratoren nicht die Signale immer noch nicht. Wenn Sie eine kleine Firma sind oder als Dienstleiter eher kleine Firmen betreuen, dann lesen Sie bitte SBS Systemhäuser.
30. Sep 2024
Ca. 6 Monaten nach dem letzten Update hat das BSI wieder eine neue Statistik über Twitter veröffentlicht:
https://x.com/certbund/status/1839577544460313030
Die Zahlen sehen beängstigend aus aber wie so oft sehen wir Menschen erst einmal die Bilder ehe wir den Text dazu lesen, denn der lautete:
"Sechs Monate nach der #Warnung des @BSI_Bund
zu #Microsoft #Exchange https://bsi.bund.de/dok/1109120
weisen auch heute noch 35% bzw. über 15.000 der
Exchange-Server mit offenem #OWA in Deutschland mindestens
eine #RCE-#Schwachstelle auf.
https://x.com/certbund/status/1839577544460313030
Schon die Wahl der "0-100 Prozent" als X-Achse zeigt nur die relative Verteilung der Server mit ihrem vermuteten Sicherheitslevel. "Nicht grün" sind also nun ca. 24% statt vormals 10% der Server, die vom BSI abgefragt worden worden sind. 14% Server wurde aktualisiert oder wurden gleich abgeschaltet. Im Text kommt aber die Zahl "35%" vor, welche aber nicht weiter beschrieben ist. Die Grenze zwischen Orange und Gelb vom 26.9.2024 liegt zufällig auf 35%. Aber ist das die gleiche Bezugsposition und wir hätten dann wirklich 76% aller Server mit gelb oder schlechter?. Das erscheint mir (hoffentlich) nicht plausibel. Dann gäb es in Deutschland auch ca. (15.000 / 35 * 100) = 43000 (aufgerundet) Exchange Server und nur 24% sollten halbwegs aktuell sein?
Das Kraftfahrbundesamt und TÜV kann Fahrzeuge stilllegen, wenn sie nicht "verkehrssicher" sind. Brauchen wir wirklich eine solche Instanz für IT-Betrieb?
- Tausende Microsoft-Exchange-Server durch
kritische Schwachstellen verwundbar
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2024/240326_Tausende_Exchange-Server_verwundbar.html
26. März 2024
Am 26. März 2024 hat das BIS eine PDF-Datei bereitgestellt, die eine Momentaufnahme zu Exchange Servern und deren Sicherheit liefert. Da vermutlich die wenigsten Exchange Administratoren solche BSI-Meldungen erhalten und sich auch die Zeitungen und Manager-Zeitschriften keine Artikel dazu veröffentlichen, hoffen ich mit der Reichweite der MSXFAQ den ein oder anderen Administrator zu erwischen und vielleicht teilt ihr diese Seite über eure Kontakte, um möglichst viele Firmen zu erreichen.
Update:
Anscheinend hat das BSI alle Provider informiert, damit
diese ihre Kunden ansprechen. Zumindest haben sich bei mir
schon erste Firmen gemeldet, die von ihrem Provider
angesprochen wurden.
Risikofaktor Exchange
Exchange ist im Prinzip nicht unsicherer als andere Server auch. Wenn nicht gerade eine ausnutzbare Lücke besteht, können nur authentifizierte Benutzer im Rahmen ihrer Möglichkeiten auf Informationen zugreifen und die Dienste nutzen. Wer einen lokalen Exchange Server betreibt, muss sich aber nicht nur einem stabilen Betrieb (Monitoring, Backup, Spam/Virenschutz) kümmern, sondern auch die Systeme absichern. Dazu zählt nicht nur das obligatorische Patch-Management sondern auch der Zugriff über das Netzwerken. Ein Exchange Server unterscheidet sich nämlich von einem internen Datei/Druckserver, Datenbankserver o.ä. dadurch, dass er extrem kommunikativ ist.
- Er tauscht Mails mit "unbekannten"
Gegenstellen aus
und muss mit den Inhalten zurechtkommen. - Legitime Anwender nutzen
unterschiedlichste Protokolle
RPC/TCP ist zwar schon lange Tod aber auch HTTPS alleine ist ja keine Garantie für Sicherheit. OWA, Outlook/AnyWhere, MAPI/HTTP, ActiveSync sind legitime Zugriffe.
Und dann gibt es noch die Angriffe, die auf Benutzer und Systeme abzielen.
- Spam/DoS-Attacken
Sicher kann ein Spamfilter davor und eine Web Application Firewall den Schutz verbessern, aber es kommt immer noch genug Müll beim Server an. Sie sollten nie glauben, dass sie zu klein sind und man sie daher nicht angreift. Nur die "großen Fische" landen in der Presse. Es gibt aber sehr viel kleine Firmen, die mehrere Tage ohne erreichbare IT auch bereit sind, zu bezahlen. - Phishing/Kennwort
Angreifer versuchen Zugriff zu erlangen und nutzen dazu Kennwort-Phish/Spray-Attacken. Mit einem legitimen Zugang geht es dann schnell, z.B. über das nicht per MFA gesicherte VPN von innen aktiv zu werden. Siehe auch Südwestfalen-IT
Bei vielen dieser Angriff ist leider Exchange ein Teil der Kette. Microsoft versucht schon sehr zügig mit Updates die Fehler zu beseitigen (Siehe Hafnium Exploit, Hafnium Nachbereitung, Exchange Fail Jan 2019 - CVE-2018-8581, CVE-2020-0688, CVE-2024-21410 Betrachtung) Aber das kann ein Hersteller nicht mehr für alle Produkte aller Versionen sicherstellen. Es ist nicht nur eine Kostenfrage, sondern es muss ich die Entwickler geben, die den Code noch pflegen und Korrekturen zeitnah testen können.
Ich kenne das sogar mit meinen PowerShell-Skripten auf der MSXFAQ. Hier kann ich aber einfach sagen, dass Sie einfach die aktuellste Version nutzen sollen, denn sie kosten ja nichts.
Ein Exchange Update ist auch kostenfrei aber das Upgrade auf die aktuelle Version nicht. Der Server aber auch die Client Access Lizenzen (CALs) kosten Geld. Der Aufwand für die Umstellungsarbeit, neue Hardware, aktuelle Backup-Produkte etc. muss auch noch eingerechnet werden.
BSI-Report
Das kann aber nicht als Entschuldigung herhalten, warum Server nicht aktuell sind. Dennoch gibt es noch sehr viele Exchange Server, die schon lange keine "Zulassung" mehr haben. Wenn diese Server aus dem Internet erreichbar sind, dann kann "jeder" mit einer einfachen HTTP-Anfrage die Version ermitteln, wenn Sie z.B.: OWA veröffentlichen:
$owalogin=(Invoke-WebRequest https://outlook.msxfaq.de/owa/auth/logon.aspx -SkipHttpErrorCheck -SkipCertificateCheck) $owalogin.Content.Substring($owalogin.Content.IndexOf('<link rel="shortcut icon" href="/owa/auth/')+42,16).split("/")[0]
Weitere Wege und Details finden Sie auf Exchange Build Nummer ermitteln. Die Versionsnummer können Sie dann auf Exchange und Outlook Build Nummern nachschlagen. Nur als Kurzfassung:
Exchange Version | End Mainstream | End Extended | Status | Link |
---|---|---|---|---|
Exchange 2019 |
Jan 2023 |
Okt 2025 |
Security Updates |
https://learn.microsoft.com/en-us/lifecycle/products/exchange-server-2019 |
Exchange 2016/td> | Okt 2020 |
Okt 2025 |
Security Updates |
https://learn.microsoft.com/en-us/lifecycle/products/exchange-server-2016 |
Exchange 2013/td> | Apr 2018 |
Apr 2023 |
Out of Support |
https://learn.microsoft.com/en-us/lifecycle/products/exchange-server-2013 |
Exchange 2010 |
Jan 2015 |
Okt 2020 |
Out of Support |
https://learn.microsoft.com/en-us/lifecycle/products/exchange-server-2010 |
Exchange 2007/td> | Apr 2012 |
Apr 2017 |
Out of Support |
https://learn.microsoft.com/en-us/lifecycle/products/exchange-server-2007 |
Die Verteilung zeigt, dass schon sehr viele Firmen zumindest Exchange 2016/2019 einsetzen:
Es reicht aber nicht, wenn sie noch eine Version einsetzen, für die es zumindest noch Security Updates gibt. Man muss sie auch einspielen. Und da kommt das zweite Bild des BSI:
Das BSI scheint die Subnetze verschiedener Provider systematisch abzuscannen und die erreichbaren Webserver auf ihre Version zu überprüfen.
Sie können sicher sein, dass dies nicht nur das BSI macht, sondern natürlich auch die möglichen Angreifer auf der Suche nach schwachen Systemen. Der Vergleich mit einem Hai, Löwe, Wolf, Hyäne, Geier o.ä., die nach leichter Beute suchen, ist ziemlich zutreffend. Wollen Sie das nächste Opfer sein?
Interessant ist hier aber auch die Text-Beschreibung, da es nicht reicht, eine aktuell Exchange Version zu nutzen, sondern diese auch korrekt konfiguriert sein muss, z.B. mit Exchange Extended Protection
12% der Microsoft-Exchange-Server in Deutschland laufen mit den schon seit geraumer Zeit nicht mehr unterstützten Versionen 2010 oder 2013 und weisen daher mehrere kritische Sicherheitslücken auf.
25% der Exchange-Server laufen zwar mit den aktuellen Versionen 2016 oder 2019, sind aber auf einem veralteten Patch-Stand
48% der Exchange-Server kann keine eindeutige Aussage hinsichtlich der Verwundbarkeit für die kritische Schwachstelle CVE-2024-21410 getroffen werden
15% der Server laufen mit der neuesten Version Exchange 2019 CU14, mit der die Extended Protection standardmäßig aktiviert ist
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-223466-1032.pdf?__blob=publicationFile&v=7
Spätestens jetzt sollten Sie in den Spiegel schauen und überlegen, ob Sie zu den 15% gehören, die die aktuelle Version installiert haben und Exchange Extended Protection nicht ausgeschaltet haben. Bitte argumentieren Sie nicht damit, dass ihr Exchange Server ja hinter einer Firewall steht und ein Reverse Proxy alle Daten decodiert und inspiziert. Dann spiele ich die Karte eines internen Angreifers, der nur von genau einem ihrer Mitarbeiter die Zugangsdaten ausgespäht hat, sich per VPN verbindet oder eine Malware dem Benutzer unterschiebt und dieser dann von intern den Exchange Server angreift. Ich habe keine repräsentativen Zahlen aber ich bin sehr sehr sicher, dass die meisten Exchange Server von intern nur sehr schwach gegen Zugriffe der Clients abgesichert sind. Greifen Sie doch mal auf "file:\\<ihrservername>\Address" zu. Sehen Sie eine Dateifreigabe mit DLLs?
Lassen wie diese Kinderspiele und beschäftigen wir uns mit den Optionen einer Ablösung:
Option1: Aktualisieren
Wenn Sie auch in Zukunft einen Exchange Server selbst bestrieben und nutzen wollen, dann haben Sie nur den Weg eines Upgrade auf Exchange 2019 CU13/CU14 bzw. Exchange 2016CU23 mit dem aktuellsten Security Updates und der Konfiguration von Exchange Extended Protection. Ein "Inplace Update" ist aktuell nicht möglich, d.h. Sie müssen immer einen neuen Server parallel installieren und alle Inhalte (Postfächer, öffentlichen Ordner, Connectoren, ClientZugriff etc.) umziehen. Mühselig aber machbar und schon viele Jahre geübte Praxis. Allerdings kann man immer nur auf eine der beiden nächsthöheren Versionen migrieren, d.h. wer älter als Exchange 2013 ist, muss einen Zwischenschritt oder Neuaufbau starten.
Exchange 2007 -> Exchange 2013 -> Exchange 2019 Exchange 2010 -> Exchange 2013/2016 -> Exchange 2019
Ich würde heute keine Migration mehr zu Exchange 2016 machen, sondern Exchange 2019 als Zielsystem planen. Damit erhalten sie auch weiter nicht nur die Security Updates sondern auch Cumulative Updates und sind für die nächste Exchange Version optimal gerüstet.
Sollten Sie noch Exchange 2000/2003 oder Small Business Server betreiben, dann können Sie dennoch zügig migrieren. Sprechen Sie mich einfach an.
- Exchange Server Roadmap Update
https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-roadmap-update/ba-p/3421389 - Exchange Deployment Assistant (EDA)
https://docs.microsoft.com/exchange/exchange-deployment-assistant
Option2: Exchange Online
Die zweite Option ist natürlich eine direkte Migration zu Exchange Online. Die Migration ist aus meiner Sicht einfach, allerdings habe ich das schon sehr oft in unterschiedlichsten Konstellationen gemacht. wenn Sie wenige 100 Postfächer haben, dann kann eine EXO Bordmittel Migration ihre Postfächer in wenigen Tagen in die Cloud bringen. Die Kurzfassung unter Beibehaltung des lokalen Active Directory wäre
- AD-Cleanup, speziell UPN und Mailadressen
- EntraID Connect oder EntraID Cloud Connect mit PHS
- Exchange Minimum Hybrid einrichten
- Alle Postfächer in die Cloud replizieren und zum Stichtag die Migration umstellen
- "Stressiger Montag", weil es sicher ein paar Clients gibt, die übersehen wurden
- Rückbau Exchange OnPremises zum reinen Connector Server oder Provisioning Service
Sowohl auf der MSXFAQ als auch bei Microsoft und vielen anderen Stellen gibt es umfangreiche Informationen.
Wenn Sie individuelle Antworten auf ihre Fragen wünschen, dann sprechen Sie mich einfach an
Option3: Produktwechsel
Exchange und Outlook sind schon ein sehr effektives Gespann zur Verarbeitung von Mails, Terminen und Kontakte. Ich kann aber durchaus verstehen, wenn speziell kleinere Firmen den Weg zu Exchange 2019 nicht mitgehen wollen aber aus nicht näher bekannten Gründen die Microsoft 365-Welt meiden wollen. Dann bleibt eigentlich nur noch der Umzug zu einem anderen Service, denn auch die unter Exchange liegenden älteren Betriebssysteme laufen nach und nach aus dem Support und sollten daher nicht mehr eingesetzt werden.
Vielleicht reicht ihnen ja ein einfacher Mailserver, der die Nachrichten per IMAP4/POP3 vorhält. Leider werden einige auf Windows oft genutzte Produkte wie HMailServer oder Mercury scheinbar nicht aktiv weiter entwickelt. Natürlich können Sie auch auf Linux-basierte Produkte wechseln oder fertige Pakete nutzen. Eine Migration der Mails ist per IMAP4 sehr oft sehr einfach möglich. Wenn Sie aber mehr als "nur Mail" benötigen, dann kommen Produkte wie Univention, Zimbra o.ä. ins Gespräch. Sie sollten allerdings eine längere Test und Eingewöhnungsphase der Anwender aber auch der Administratoren einplanen. Für ganz kleine Firmen ist auch ein Mailhosting beim gleichen Providere denkbar, der eh schon ihre Internet Domain und Webseite hostet.
Letztlich ist eine Bewertung mit Abwägung der Vor/Nachteile vorzunehmen. Für einen reinen OnPremises-Betrieb wird es aber immer schwerer und je kleiner eine Firma ist, desto weniger sinnvoll ist dies.
Zwischenstand
Aktuell gibt es noch viel zu viele "OnPremises-Exchange Server", die nicht ausreichend abgesichert sind und Firmen begeben sich damit leichtsinnig in ein Risiko. Abhilfe ist relativ einfach aber sie muss angegangen oder beauftragt werden. Das ist wie beim Fahrzeug. Es reicht nicht regelmäßig Treibstoff einzufüllen und ab und an eine Inspektion einzuplanen. Sie sollten monatlich pro Postfach einen ausreichend hohen Betrag ist "Investitionsrücklage" einplanen, um die erforderlichen größeren Umbauten oder Neuanschaffungen stemmen zu können. Oder wie wechseln in ein Provider Modell, dass Sie generell nur noch monatlich einen vom Cloud-Anbieter bestimmten Preis für den Service bezahlen. Der fade Beigeschmack dabei ist, dass Microsoft 365 kaum ernstzunehmende Marktbegleiter hat und das in eine Abhängigkeit führen kann. Allerdings gab es schon immer dominante Systeme (IBM, Novell), die aber auch wieder reduziert wurden. Vielleicht brauchen wir in einigen Jahren gar kein Exchange mehr, weil andere Kommunikationsformen übernommen haben. TELEX, Datex-P ist schon kaum mehr sichtbar und Fax mittlerweile sogar in den Behörden im Rückzug.
Aber für heute brauchen sie eine Antwort auf ihren unsicheren Exchange Server.
Weitere Links
- Sicherheit
- Hafnium Exploit
- Hafnium Nachbereitung
- Exchange Y2K22 Bug
- CVE-2020-0688
- CVE-2024-21410 Betrachtung
- Exchange Fail Jan 2019 - CVE-2018-8581
- Exchange Extended Protection
- Südwestfalen-IT
- SBS Systemhäuser
-
CSW-Nr. 2024-223466-1032, Version 1.0,
26.03.2024 Tausende
Microsoft-Exchange-Server in Deutschland
weiterhin für kritische Schwachstellen
verwundbar
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-223466-1032.pdf?__blob=publicationFile&v=7