BSI CSW-Nr. 2024-223455-1032

Am 26. März 2024 hat das BIS eine PDF-Datei bereitgestellt, die eine Momentaufnahme zu Exchange Servern und deren Sicherheit liefert. Da vermutlich die wenigsten Exchange Administratoren solche BSI-Meldungen erhalten und sich auch die Zeitungen und Manager-Zeitschriften keine Artikel dazu veröffentlichen, hoffen ich mit der Reichweite der MSXFAQ den ein oder anderen Administrator zu erwischen und vielleicht teilt ihr diese Seite über eure Kontakte, um möglichst viele Firmen zu erreichen.


Quelle: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-223466-1032.pdf?__blob=publicationFile&v=7

Update:
Anscheinend hat das BSI alle Provider informiert, damit diese ihre Kunden ansprechen. Zumindest haben sich bei mir schon erste Firmen gemeldet, die von ihrem Provider angesprochen wurden.

Risikofaktor Exchange

Exchange ist im Prinzip nicht unsicherer als andere Server auch. Wenn nicht gerade eine ausnutzbare Lücke besteht, können nur authentifizierte Benutzer im Rahmen ihrer Möglichkeiten auf Informationen zugreifen und die Dienste nutzen. Wer einen lokalen Exchange Server betreibt, muss sich aber nicht nur einem stabilen Betrieb (Monitoring, Backup, Spam/Virenschutz) kümmern, sondern auch die Systeme absichern. Dazu zählt nicht nur das obligatorische Patch-Management sondern auch der Zugriff über das Netzwerken. Ein Exchange Server unterscheidet sich nämlich von einem internen Datei/Druckserver, Datenbankserver o.ä. dadurch, dass er extrem kommunikativ ist.

  • Er tauscht Mails mit "unbekannten" Gegenstellen aus
    und muss mit den Inhalten zurechtkommen.
  • Legitime Anwender nutzen unterschiedlichste Protokolle
    RPC/TCP ist zwar schon lange Tod aber auch HTTPS alleine ist ja keine Garantie für Sicherheit. OWA, Outlook/AnyWhere, MAPI/HTTP, ActiveSync sind legitime Zugriffe.

Und dann gibt es noch die Angriffe, die auf Benutzer und Systeme abzielen.

  • Spam/DoS-Attacken
    Sicher kann ein Spamfilter davor und eine Web Application Firewall den Schutz verbessern, aber es kommt immer noch genug Müll beim Server an. Sie sollten nie glauben, dass sie zu klein sind und man sie daher nicht angreift. Nur die "großen Fische" landen in der Presse. Es gibt aber sehr viel kleine Firmen, die mehrere Tage ohne erreichbare IT auch bereit sind, zu bezahlen.
  • Phishing/Kennwort
    Angreifer versuchen Zugriff zu erlangen und nutzen dazu Kennwort-Phish/Spray-Attacken. Mit einem legitimen Zugang geht es dann schnell, z.B. über das nicht per MFA gesicherte VPN von innen aktiv zu werden. Siehe auch Südwestfalen-IT

Bei vielen dieser Angriff ist leider Exchange ein Teil der Kette. Microsoft versucht schon sehr zügig mit Updates die Fehler zu beseitigen (Siehe Hafnium Exploit, Hafnium Nachbereitung, Exchange Fail Jan 2019 - CVE-2018-8581, CVE-2020-0688, CVE-2024-21410 Betrachtung) Aber das kann ein Hersteller nicht mehr für alle Produkte aller Versionen sicherstellen. Es ist nicht nur eine Kostenfrage, sondern es muss ich die Entwickler geben, die den Code noch pflegen und Korrekturen zeitnah testen können.

Ich kenne das sogar mit meinen PowerShell-Skripten auf der MSXFAQ. Hier kann ich aber einfach sagen, dass Sie einfach die aktuellste Version nutzen sollen, denn sie kosten ja nichts.

Ein Exchange Update ist auch kostenfrei aber das Upgrade auf die aktuelle Version nicht. Der Server aber auch die Client Access Lizenzen (CALs) kosten Geld. Der Aufwand für die Umstellungsarbeit, neue Hardware, aktuelle Backup-Produkte etc. muss auch noch eingerechnet werden.

BSI-Report

Das kann aber nicht als Entschuldigung herhalten, warum Server nicht aktuell sind. Dennoch gibt es noch sehr viele Exchange Server, die schon lange keine "Zulassung" mehr haben. Wenn diese Server aus dem Internet erreichbar sind, dann kann "jeder" mit einer einfachen HTTP-Anfrage die Version ermitteln, wenn Sie z.B.: OWA veröffentlichen:

$owalogin=(Invoke-WebRequest https://outlook.msxfaq.de/owa/auth/logon.aspx -SkipHttpErrorCheck -SkipCertificateCheck)
$owalogin.Content.Substring($owalogin.Content.IndexOf('<link rel="shortcut icon" href="/owa/auth/')+42,16).split("/")[0]

Weitere Wege und Details finden Sie auf Exchange Build Nummer ermitteln. Die Versionsnummer können Sie dann auf Exchange und Outlook Build Nummern nachschlagen. Nur als Kurzfassung:

Exchange Version End Mainstream End Extended Status Link

Exchange 2019

Jan 2023

Okt 2025

SSecurity Updates

 https://learn.microsoft.com/en-us/lifecycle/products/exchange-server-2019

Exchange 2016/td>

Okt 2020

Okt 2025

SSecurity Updates

 https://learn.microsoft.com/en-us/lifecycle/products/exchange-server-2016

Exchange 2013/td>

Apr 2018

Apr 2023

OOut of Support

 https://learn.microsoft.com/en-us/lifecycle/products/exchange-server-2013

Exchange 2010

Jan 2015

Okt 2020

Out of Support

 https://learn.microsoft.com/en-us/lifecycle/products/exchange-server-2010

Exchange 2007/td>

Apr 2012

Apr 2017

OOut of Support

 https://learn.microsoft.com/en-us/lifecycle/products/exchange-server-2007

Die Verteilung zeigt, dass schon sehr viele Firmen zumindest Exchange 2016/2019 einsetzen:


Quelle: BSI https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-223466-1032.pdf?__blob=publicationFile&v=7

Es reicht aber nicht, wenn sie noch eine Version einsetzen, für die es zumindest noch Security Updates gibt. Man muss sie auch einspielen. Und da kommt das zweite Bild des BSI:


Quelle: BSI https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-223466-1032.pdf?__blob=publicationFile&v=7

Das BSI scheint die Subnetze verschiedener Provider systematisch abzuscannen und die erreichbaren Webserver auf ihre Version zu überprüfen.

Sie können sicher sein, dass dies nicht nur das BSI macht, sondern natürlich auch die möglichen Angreifer auf der Suche nach schwachen Systemen. Der Vergleich mit einem Hai, Löwe, Wolf, Hyäne, Geier o.ä., die nach leichter Beute suchen, ist ziemlich zutreffend. Wollen Sie das nächste Opfer sein?

Interessant ist hier aber auch die Text-Beschreibung, da es nicht reicht, eine aktuell Exchange Version zu nutzen, sondern diese auch korrekt konfiguriert sein muss, z.B. mit Exchange Extended Protection

12% der Microsoft-Exchange-Server in Deutschland laufen mit den schon seit geraumer Zeit nicht mehr unterstützten Versionen 2010 oder 2013 und weisen daher mehrere kritische Sicherheitslücken auf.
25% der Exchange-Server laufen zwar mit den aktuellen Versionen 2016 oder 2019, sind aber auf einem veralteten Patch-Stand
48% der Exchange-Server kann keine eindeutige Aussage hinsichtlich der Verwundbarkeit für die kritische Schwachstelle CVE-2024-21410 getroffen werden
15% der Server laufen mit der neuesten Version Exchange 2019 CU14, mit der die Extended Protection standardmäßig aktiviert ist
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-223466-1032.pdf?__blob=publicationFile&v=7

Spätestens jetzt sollten Sie in den Spiegel schauen und überlegen, ob Sie zu den 15% gehören, die die aktuelle Version installiert haben und Exchange Extended Protection nicht ausgeschaltet haben. Bitte argumentieren Sie nicht damit, dass ihr Exchange Server ja hinter einer Firewall steht und ein Reverse Proxy alle Daten decodiert und inspiziert. Dann spiele ich die Karte eines internen Angreifers, der nur von genau einem ihrer Mitarbeiter die Zugangsdaten ausgespäht hat, sich per VPN verbindet oder eine Malware dem Benutzer unterschiebt und dieser dann von intern den Exchange Server angreift. Ich habe keine repräsentativen Zahlen aber ich bin sehr sehr sicher, dass die meisten Exchange Server von intern nur sehr schwach gegen Zugriffe der Clients abgesichert sind. Greifen Sie doch mal auf "file:\\<ihrservername>\Address" zu. Sehen Sie eine Dateifreigabe mit DLLs?

Lassen wie diese Kinderspiele und beschäftigen wir uns mit den Optionen einer Ablösung:

Option1: Aktualisieren

Wenn Sie auch in Zukunft einen Exchange Server selbst bestrieben und nutzen wollen, dann haben Sie nur den Weg eines Upgrade auf Exchange 2019 CU13/CU14 bzw. Exchange 2016CU23 mit dem aktuellsten Security Updates und der Konfiguration von Exchange Extended Protection. Ein "Inplace Update" ist aktuell nicht möglich, d.h. Sie müssen immer einen neuen Server parallel installieren und alle Inhalte (Postfächer, öffentlichen Ordner, Connectoren, ClientZugriff etc.) umziehen. Mühselig aber machbar und schon viele Jahre geübte Praxis. Allerdings kann man immer nur auf eine der beiden nächsthöheren Versionen migrieren, d.h. wer älter als Exchange 2013 ist, muss einen Zwischenschritt oder Neuaufbau starten.

Exchange 2007 -> Exchange 2013      -> Exchange 2019
Exchange 2010 -> Exchange 2013/2016 -> Exchange 2019

Ich würde heute keine Migration mehr zu Exchange 2016 machen, sondern Exchange 2019 als Zielsystem planen. Damit erhalten sie auch weiter nicht nur die Security Updates sondern auch Cumulative Updates und sind für die nächste Exchange Version optimal gerüstet.

Sollten Sie noch Exchange 2000/2003 oder Small Business Server betreiben, dann können Sie dennoch zügig migrieren. Sprechen Sie mich einfach an.

Option2: Exchange Online

Die zweite Option ist natürlich eine direkte Migration zu Exchange Online. Die Migration ist aus meiner Sicht einfach, allerdings habe ich das schon sehr oft in unterschiedlichsten Konstellationen gemacht. wenn Sie wenige 100 Postfächer haben, dann kann eine EXO Bordmittel Migration ihre Postfächer in wenigen Tagen in die Cloud bringen. Die Kurzfassung unter Beibehaltung des lokalen Active Directory wäre

  • AD-Cleanup, speziell UPN und Mailadressen
  • EntraID Connect oder EntraID Cloud Connect mit PHS
  • Exchange Minimum Hybrid einrichten
  • Alle Postfächer in die Cloud replizieren und zum Stichtag die Migration umstellen
  • "Stressiger Montag", weil es sicher ein paar Clients gibt, die übersehen wurden
  • Rückbau Exchange OnPremises zum reinen Connector Server oder Provisioning Service

Sowohl auf der MSXFAQ als auch bei Microsoft und vielen anderen Stellen gibt es umfangreiche Informationen.

Wenn Sie individuelle Antworten auf ihre Fragen wünschen, dann sprechen Sie mich einfach an

Option3: Produktwechsel

Exchange und Outlook sind schon ein sehr effektives Gespann zur Verarbeitung von Mails, Terminen und Kontakte. Ich kann aber durchaus verstehen, wenn speziell kleinere Firmen den Weg zu Exchange 2019 nicht mitgehen wollen aber aus nicht näher bekannten Gründen die Microsoft 365-Welt meiden wollen. Dann bleibt eigentlich nur noch der Umzug zu einem anderen Service, denn auch die unter Exchange liegenden älteren Betriebssysteme laufen nach und nach aus dem Support und sollten daher nicht mehr eingesetzt werden.

Vielleicht reicht ihnen ja ein einfacher Mailserver, der die Nachrichten per IMAP4/POP3 vorhält. Leider werden einige auf Windows oft genutzte Produkte wie HMailServer oder Mercury scheinbar nicht aktiv weiter entwickelt. Natürlich können Sie auch auf Linux-basierte Produkte wechseln oder fertige Pakete nutzen. Eine Migration der Mails ist per IMAP4 sehr oft sehr einfach möglich. Wenn Sie aber mehr als "nur Mail" benötigen, dann kommen Produkte wie Univention, Zimbra o.ä. ins Gespräch. Sie sollten allerdings eine längere Test und Eingewöhnungsphase der Anwender aber auch der Administratoren einplanen. Für ganz kleine Firmen ist auch ein Mailhosting beim gleichen Providere denkbar, der eh schon ihre Internet Domain und Webseite hostet.

Letztlich ist eine Bewertung mit Abwägung der Vor/Nachteile vorzunehmen. Für einen reinen OnPremises-Betrieb wird es aber immer schwerer und je kleiner eine Firma ist, desto weniger sinnvoll ist dies.

Zwischenstand

Aktuell gibt es noch viel zu viele "OnPremises-Exchange Server", die nicht ausreichend abgesichert sind und Firmen begeben sich damit leichtsinnig in ein Risiko. Abhilfe ist relativ einfach aber sie muss angegangen oder beauftragt werden. Das ist wie beim Fahrzeug. Es reicht nicht regelmäßig Treibstoff einzufüllen und ab und an eine Inspektion einzuplanen. Sie sollten monatlich pro Postfach einen ausreichend hohen Betrag ist "Investitionsrücklage" einplanen, um die erforderlichen größeren Umbauten oder Neuanschaffungen stemmen zu können. Oder wie wechseln in ein Provider Modell, dass Sie generell nur noch monatlich einen vom Cloud-Anbieter bestimmten Preis für den Service bezahlen. Der fade Beigeschmack dabei ist, dass Microsoft 365 kaum ernstzunehmende Marktbegleiter hat und das in eine Abhängigkeit führen kann. Allerdings gab es schon immer dominante Systeme (IBM, Novell), die aber auch wieder reduziert wurden. Vielleicht brauchen wir in einigen Jahren gar kein Exchange mehr, weil andere Kommunikationsformen übernommen haben. TELEX, Datex-P ist schon kaum mehr sichtbar und Fax mittlerweile sogar in den Behörden im Rückzug.

Aber für heute brauchen sie eine Antwort auf ihren unsicheren Exchange Server.

Weitere Links