Wenn es außer der Reihe Exchange Server Updates gibt und diese auch für eingestellte Versionen kommen, muss etwas wichtiges passiert sein. Oder etwa nicht? Microsoft kam jetzt mit einer ganzen Latte an Updates um die Ecke. Administratoren von Exchange Server-Umgebungen sollten das Alles nicht auf die leichte Schulter nehmen. Und wie das eben immer so ist: Man darf dann auch gern immer darauf achten, was Microsoft als Hersteller dazu mit auf den Weg gibt. Also schauen wir uns das mal an.
Um welche Exchange Server Updates geht es denn?
Mir wird ja immer ganz anders, wenn Fachpublikationen vom „Email-Programm“ oder von der „Email-Software“ Exchange Server erzählen. Dennoch musste man jetzt mal genau hinschauen, was da gerade so in Umlauf gekommen ist. Es handelt sich bei den neuesten Exchange Server Updates um die folgenden.
KB5000871 und KB5000978
Jetzt machte eine ziemlich kritisch klingende Mitteilung von Microsoft die Runde. In der Mail waren Bedrohungen enthalten. Und zwar gleich so derbe, dass man zu einem umgehenden Update der Exchange-Umgebung aufruft. Folgende Bedrohungen listet Microsoft auf:
- CVE-2021-26412
- CVE-2021-26855
- CVE-2021-27065
- CVE-2021-26857
- CVE-2021-27078
- CVE-2021-26854
- CVE-2021-26858
Allesamt behandeln sie das Thema „Remote Code Execution“. Angeblich sollen „chinesische Staatshacker“ direkt Exchange Server „ins Visier“ genommen haben. Im MRSC Blog erklärt Microsoft kurz und knapp, was sie entdeckt haben. Das Problem wird „Hafnium“ genannt. Also wie das seltene Element der Erdkruste. Aber ich würde vermuten, dass es damit nicht allzu viel zu tun hat. Es wird dringend empfohlen, die entsprechenden Exchange Server Updates zu installieren:
- Für Exchange Server 2013, 2016 und 2019 – KB5000871
- Für Exchange Server 2010 (Defense in Depth Update) – KB5000978
Was muss ich beim Installieren beachten?
Jetzt ist es ja so, dass diese Out-of-Band-Updates, also die Exchange Server Updates außer der Reihe, nicht wie ein kumulatives Update daher kommen. Es bringt also nicht viel, diese dann mit Setup.exe -> Weiter -> Weiter -> Fertigstellen auf die Server drauf zu prügeln. Im schlimmsten Fall passiert nämlich das da. In den oben verlinkten Artikeln zu den Exchange Server Updates steht ganz klar, wie die Updates am besten zu installieren sind:
- Öffnet eine Eingabeaufforderung als Administrator
- Zieht euch die heruntergeladene MSP-Datei in die CMD
- Installiert darüber
Wenn die Benutzerkontensteuerung zuschlägt, müsst ihr das Ganze bestätigen. Aber damit sollte es recht wenige Probleme mit den Updates geben. Nichts ist ja schlimmer, als wenn ein Update etwas kaputt macht. Aber hier braucht niemand mit dem Finger auf Microsoft zu zeigen, denn sie schreiben es ja in den Artikeln. Das ist wie der Beipackzettel beim Blutdrucksenker von Oma Waltraut.
Hafnium – Was zum Teufel?
Alle Welt nennt das Problem „Hafnium“. Ich habe es ja oben auch genannt. Aber was zum Geier soll das denn sein? Dass es nichts mit irgendeinem Spurenelement zu tun haben kann, sollte klar sein. Microsoft berichtet im Security Blog darüber, dass sich wohl in der Tat eine chinesische Hackergruppe so nennt. Und die soll wohl auch staatlich unterstützt werden. Microsoft ist ihnen auf die Spur gekommen durch die eigene Technologie: Microsoft Defender mit Sentinel.
Hafnium versucht, über die oben genannten Schwachstellen auf Daten und Postfächer in einer Exchange-Umgebung zuzugreifen. Das betrifft ausdrücklich nicht Exchange Online. Vermutlich ist es darüber gelungen, mittels Sentinel die Angriffe zu ermitteln. Beim Günter Born steht näheres zur Bedrohungslage. Das sollte man jedenfalls nicht auf die leichte Schulter nehmen. Auch bei Frankys Web wird auf die Problematik aufmerksam gemacht.
Am Ende kann Microsoft immer nur reagieren. Seien wir froh, dass es dann recht zügig Exchange Server Updates gab. Das Risiko konnte vermutlich dadurch reduziert werden. Gleichwohl gilt aber immer wieder: Es kann keine hundertprozentige Sicherheit geben. Wer das behauptet, lügt sich selbst in die Tasche. Also kann man immer nur so zeitnah wie möglich reagieren und die angebotenen Updates auf die oben geschilderte Art und Weise installieren.