Thorsten Christoffers 
Frank Schmitz 
Christian Frielingsdorf Der Hersteller Microsoft hat aktuell mehrere Sicherheitslücken in den Exchange Server Versionen 2010, 2013, 2016 und 2019 identifiziert, die bereits aktiv ausgenutzt werden. Die Schwachstellen mit den Bezeichnungen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 & CVE-2021-27065 ermöglichen es Angreifern, nachdem diese (z.B. über gestohlene Zugangsdaten) Zugriff auf die Exchange Server erhalten habe, eine Web-Shell zu starten. Über diesen Zugang werden dann Unternehmens-Daten aus dem Netzwerk entfernt.
Wie Sie prüfen können ob Sie bereits von der Sicherheitslücke betroffen sind ist auf dieser Microsoft Seite genau beschrieben.
Was ist zu tun?
Wir empfehlen dringend die Exchange Security Updates zeitnah auf den betroffenen Exchange on-premises Servern zu installieren. Für die Installation sind einige wichtige Punkte zu beachten.
Für die Abschaltung einzelner Server und Server innerhalb einer DAG sind zum Teil unterschiedliche Schritte für die Vorbereitung vor der Installation erforderlich. Die folgende Vorgehensweise soll als Leitfaden dienen, an welche Punkte vor bzw. nach dem Update gedacht werden sollte.
Vorbereitung
- DNS Umstellung für SMTP (falls erforderlich)
- Mailflow auf vorgelagertem Mailgateway pausieren (optional Umleitung von Mailflow prüfen)
- Den zu patchenden Real Server im Loadbalancing pausieren
- DAG Wartungsmodus für den Server aktivieren
- Exchange Server einmal sauber booten
- Backup der Exchange Server durchführen (optional)
- Snapshot anlegen (eventuell auch ohne Backup zuvor in VMware)
Exchange Update durchführen
- Antivirus-Software auf dem Exchange Server pausieren oder beenden
- .NET Framework aktualisieren (optional – falls weiteres CU notwendig)
Update Treppe (.NET Framework Support Matrix beachten https://docs.microsoft.com/en-us/exchange/plan-and-deploy/supportability-matrix?view=exchserver-2019#microsoft-net-framework)
- Server Reboot (optional)
- Update CU / Security Update installieren
Die bei einem Update zu beachtenden Schritte entnehmen Sie dem nächsten Abschnitt (Wichtige Steps für das Einspielen des Security Patches / des Cumulativen Updates)
- Reboot nach Exchange Updates (CU / Security Update)
- Windows Updates installieren (Optional)
- Reboot
- AV Scan aktivieren
Kontrolle
- Test Exchange Mailflow intern
- Test Clientaccess Zugriff auf Server (https://localhost/owa und /ecp)
- DAG Wartung beenden
- Real Server auf Loadbalancer aktivieren
Nacharbeiten
- Mailflow über Mailgateway aktivieren (optional)
- DNS Umschaltung für SMTP (falls erforderlich)
- Snapshop entfernen (falls zuvor erstellt)
- Cleanup CU ISO / Security Files
Wichtige Steps für das Einspielen des Security Patches
Im Microsoft Security und Response Center können die jeweiligen Artikel zu den Patches untersucht werden. (Update Guide)
Darin enthalten sind wichtige Informationen für die Installation des jeweiligen Patches (anbei die zu beachten Schritte um evtl. Probleme mit OWA und ECP zu vermeiden).
Beispielhafter Auszug aus der Update-Anleitung für KB5000871 welche folgende CVE behebt (CVE-2021-26412 / CVE-2021-27078 / CVE-2021-26854 / CVE-2021-26855 / CVE-2021-27065 / CVE-2021-26857 / CVE-2021-26858)
Known issues in this update
When you try to manually install this security update by double-clicking the update file (.msp) to run it in normal mode (that is, not as an administrator), some files are not correctly updated.
When this issue occurs, you don’t receive an error message or any indication that the security update was not correctly installed. However, Outlook on the web and the Exchange Control Panel (ECP) might stop working.
This issue occurs on servers that are using User Account Control (UAC). The issue occurs because the security update doesn’t correctly stop certain Exchange-related services.
To avoid this issue, follow these steps to manually install this security update.
1. Select Start, and type cmd.
2. In the results, right-click Command Prompt, and then select Run as administrator.
3. If the User Account Control dialog box appears, verify that the default action is the action that you want, and then select Continue.
4. Type the full path of the .msp file, and then press Enter.
Wichtige Steps für das Einspielen des Cumulativen Updates
Wichtig: Falls Sie auf Ihrem Exchange Server nicht bereits das aktuellste Cummulative Update installiert haben, sollte dies dringend vorher durchgeführt werden.
Beim Update des Cumulative Update für Exchange Servers sind weitere Vorbereitungen notwendig:
Link zum CU Update für Exchange 2016 und 2019
Released: December 2020 Quarterly Exchange Updates – Microsoft Tech Community
Hierbei ist besonders darauf zu achten, die Execution Policy über eine PowerShell mit erhöhten Rechten (als Administrator gestartet) auf „unrestricted“ zu ändern, bevor das Setup via PowerShell (.\setup.exe) gestartet werden kann.
„Also, to prevent installation issues you should ensure that the Windows PowerShell Script Execution Policy is set to “Unrestricted” on the server being upgraded or installed. To verify the policy settings, run the Get-ExecutionPolicy cmdlet from PowerShell on the machine being upgraded. If the policies are NOT set to Unrestricted you should use the resolution steps in here to adjust the settings.“
Quelle
Die Bedrohungen durch CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 & CVE-2021-27065 erfordern zeitnahes Handeln! Daher empfehlen wir Ihnen, sich direkt mit dem IT-Partner Ihres Vertrauens in Verbindung zu setzen.