Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) jetzt bekannt gab, bestehen neue Schwachstellen in Microsoft Exchange Server und es müssen erneut umgehende Maßnahmen ergriffen werden.

SACHVERHALT

Am Dienstag, den 13. April 2021, um 19 Uhr MESZ hat Microsoft im Rahmen seines Patchdays auch Updatesfür Exchange Server veröffentlicht [MIC2021a]. Diese schließen 4 Schwachstellen die Tätern die Möglichkeitbieten, aus der Ferne Code auf dem Server auszuführen.Bei den Schwachstellen handelt es sich um:
•CVE-2021-28480 Microsoft Server Remote Code Execution Vulnerability [MIC2021b]
•CVE-2021-28481 Microsoft Server Remote Code Execution Vulnerability [MIC2021c]
•CVE-2021-28482 Microsoft Server Remote Code Execution Vulnerability [MIC2021d]
•CVE-2021-28483 Microsoft Server Remote Code Execution Vulnerability [MIC2021e]

Nach Angaben des Herstellers sind die Schwachstellen kritisch. Sicherheitsupdates stehen für die folgenden Versionen zur Verfügung:
•Exchange Server 2013 CU23
•Exchange Server 2016 CU19 und CU20
•Exchange Server 2019 CU8 und CU9

BEWERTUNG

Die Schwachstellen sind mit CVSS-Scores von bis zu 9,8 als kritisch zu bewerten.Sie wurden im Rahmen eines Coordinated Vulnerability Disclosure an Microsoft gemeldet und sind noch nichtöffentlich. Da Exchange Server aber gerade im besonderen Fokus der Angreifer stehen, ist mit einer hohen Wahrscheinlichkeit mit einer baldigen Ausnutzung zu rechnen. Die Installation der Patches sollte daher kurzfristig durchgeführt werden. Ein Zusammenhang zu den Exchange Schwachstellen von Anfang März (BSI CSW-Nr. 2021-197772) scheint nicht zu bestehen.

MASSNAHMEN

Das BSI empfiehlt dringend das Einspielen der von Microsoft bereitgestellten Sicherheitsupdates [MIC2021a].Bitte beachten Sie, dass die Updates nur für Server mit aktuellen kumulativen Updates (CU) zur Verfügung stehen.Verwundbar sind allerdings alle CUs.Grundsätzlich sollten auch alle sonstigen Sicherheitsupdates [MIC2021f], die Microsoft im Rahmen des Patchdays veröffentlicht zeitnah installiert werden.

WICHTIGE LINKS

[MIC2021a] April 2021 Update Tuesday packages now available
https://msrc-blog.microsoft.com/2021/04/13/april-2021-update-tuesday-packages-now-available/
[MIC2021b] CVE-2021-28480 Microsoft Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28480
[MIC2021c] CVE-2021-28481 Microsoft Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28481
[MIC2021d] CVE-2021-28482 Microsoft Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28482
[MIC2021e] CVE-2021-28483 Microsoft Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28483
[MIC2021f] Microsoft Security Update Guide
https://msrc.microsoft.com/update-guide