MS11-025
Mit einem Blogeintrag hat Microsoft auf eine Sicherheitslücke aller Exchange Server aufmerksam gemacht. Genau genommen ist es die Visual Studio C 2010 Runtime, die durch das Exchange Setup mit einer alten Version so überschrieben wurde dass Windows Update dies nicht erkannt und den notwendigen Patch installiert. Das sollten Sie umgehend manuell nachholen. Erst alle Exchange Installationsquellen ab Oktober 2018 (also Exchange 2019, Exchange 2016CU11 etc.) enthalten die neue Version.
Worum geht es
Die wesentlichen Informationen hat Microsoft in seinem Exchange Team Blog veröffentlicht:
- MS11-025 required on Exchange Server versions released before October 2018
https://blogs.technet.microsoft.com/exchange/2018/10/09/ms11-025-required-on-exchange-server-versions-released-before-october-2018/
Kurz zusammengefasst geht es um folgende Punkte:
- Microsoft stuft die folgenden Aktionen als erforderlich ein,
um die Sicherheit der Exchange Server zu gewährleisten
Auch wenn das Advisors MS11-025 das Risiko als "Low/Medium" einstuft und es aktuell keine Hinweise gibt, dass die Lücke bislang ausgenutzt wurde. Nun aber "weiß" jeder Angreifer, dass ein Exchange Server diese Lücke noch haben könnte. - Die erforderlichen Updates werden weder durch Windows Update
noch durch WSUS automatisch angewendet
Wobei ich mich schon frage, warum eigentlich nicht? - Es betrifft alle Exchange Server, die vor dem Oktober 2018
installiert wurde
Die Installationsmedien enthalten einfach die alten DLLs und überschreiben sogar bereits aktualisierte Systeme. Erst Exchange Updates ab Oktober 2018 überschreiben keine Visual Studio DLLs mehr. Stattdessen prüfen die neueren Setups die Voraussetzungen und überlassen ihnen die Vorbereitung. - Die Installation des Updates erfordert angeblich keinen Reboot und die Dienste müssen nicht beendet werden
Das kann ich so nicht bestätigen. Ein Teil meiner Systeme wollte sehr wohl einen Reboot
Der Fehler liegt also im Exchange Team, die in ihre Installationsquellen eine veraltete Version der VC2010 Runtime gepackt haben.
Aus meiner Sicht ist es aber auch ein Design-Fehler von Windows Update, dass es diese alte DLL nicht prüft/findet und das Update melden.
Aber letztlich ist egal, wer nun Schuld ist und warum das so lange unentdeckt bliebt. Sie sollten das Update installieren, wenn erforderlich. Aber dazu schauen wir lieber erst mal genauer hin
Version prüfen
Der Blog-Eintrag rät direkt zur Installation des Updates. Angeblich muss man dazu nicht mal die Exchange Dienste beenden oder den Server durchstarten. Man könnte auch vermuten, dass das Exchange Setup diese Komponente zwar noch installiert, aber Exchange den Code gar nicht mehr anspricht. Dennoch ist er drauf und da die VCRuntime2010 auch von anderen Programmen genutzt werden kann, ist ein Blick auf Exchange Server aber auch andere Server interessant. Das "Problem" könnten ja auch andere Server haben.
Es geht um die Visual Studio Runtime 2010, die im Jahr 2011 das letzte mal aktualisiert wurde. Exchange installiert eine Version aus dem März 2011, wie auch recht einfach am Dateidatum zu sehen ist:
Auch in der Systemsteuerung - Programme ist die Versionsnummer zu sehen
Diese Version hat die Lücke, von der ich bis heute allerdings noch nichts gesehen habe, wie sie ausgenutzt werden kann. Man muss wohl auf dem Server einen Schadcode laden. Inwieweit ein Exchange Server "über das Internet" angreifbar ist, der nur über HTTPS und SMTP erreichbar ist. kann ich nicht einschätzen. Aber die meisten erfolgreichen Angriffe kommen ja eh von innen und dann noch durch einen unvorsichtigen Administrator, habe ich mir sagen lassen.
Sie müssen aber nicht per GUI die Version prüfen. Das geht auch per PowerShell
(get-item c:\windows\system32\mfc100.dll).versioninfo.ProductBuildPart -lt 40219
Wer also mehrere Server hat, kann dies auch durch eine Schleife senden.
get-exchangeserver | foreach { write-host "Checking Server $($_.name)" -nonewline (get-item "\\$($_)\admin$\system32\mfc100.dll").versioninfo.ProductBuildPart -lt 40219 }
Oder sie starten mal schnell ein Inventory mit SCCOM oder der Managementlösung ihrer Wahl.
Update
Daher ist Updaten schon wichtig. Laden Sie sich einfach die wenigen Megabyte von Microsoft herunter und installieren Sie diese. Das Exchange Team Blog schreibt dazu aber, dass kein Neustart des Servers erforderlich sei. Das war bei mir allerdings nicht so. Alle Server und auch Verwaltungssysteme mit der veralteten Version, haben nach der Installation des Security Update einen Neustart erwartet.
Das Update ist 9.8 MB groß und eine Vollinstallation
Microsoft Visual C++ 2010 Service Pack 1 Redistributable
Package MFC Security Update
https://www.microsoft.com/en-us/download/details.aspx?id=26999
Interessanterweise ist Windows 2012 und höher nicht mehr auf der „Supported“ Liste. Aber auch hier ist das update erforderlich.
Nachkontrolle
Der Erfolg der Installation können Sie zum Einen über die Auslistung der Programme prüfen. Das ist aber auch nur ein Check der Einträge in der Registrierung.
Im Explorer sehen Sie auch das Datum und können sich die Dateiversion mit einblenden lassen.
Mit ist es daher lieber, die Dateien selbst anzuschauen. Wer das Explorer-Fenster von damals noch offen hat, sieht sofort die Veränderung.
Weitere Links
- MS11-025 required on Exchange Server versions released before October 2018
https://blogs.technet.microsoft.com/exchange/2018/10/09/ms11-025-required-on-exchange-server-versions-released-before-october-2018/ - CVE-2010-3190 | MFC Insecure Library Loading Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2010-3190 - Microsoft Security Bulletin MS11-025 - Hoch
https://docs.microsoft.com/de-de/security-updates/securitybulletins/2011/ms11-025 - How to (correctly) check file versions with PowerShell
https://blogs.technet.microsoft.com/askpfeplat/2014/12/07/how-to-correctly-check-file-versions-with-powershell/ - Exchange Server: Update KB2565063 muss (erneut) installiert werden
https://www.frankysweb.de/exchange-server-update-kb2565063-muss-erneut-installiert-werden/ - Patchday: Zero-Day-Fix für Windows, kritische Exchange-Lücke
https://www.heise.de/security/meldung/Patchday-Zero-Day-Fix-fuer-Windows-kritische-Exchange-Luecke-4186268.html