Exchange Server – Remotecodeausführung

Im März würde einige Sicherheitslücken zum Exchange gemeldet, welche unter folgenden CVE-Nummer einzusehen ist: CVE-2021-26855, CVE-2021-26857, CVE-2021-27065, CVE-2021-26858. Auch einige Monate später, kommen mir noch Exchange Server unter die Finger, welche nicht gepatcht bzw. nur teilweise gepatcht wurden. Bitte achtet bei der Installation eines Exchange-Servers auf ein paar Kleinigkeiten, welche euch das Leben leichter machen.

Als aller erstes solltet ihr den Empfehlungen der oben genannten CVE-Nummern folgen!

Für die CVE-2021-26855 solltet ihr diese Zeilen in den Bereich <system.webServer> folgenden Code einfügen (Natürlich benötigt ihr vorher das Rewrite-Modul des IIS, welches ihr auf der Seite CVE-2021-26855 findet). Führt ihr das Skript EOMT.ps1, zur Prüfung des Exchange-Servers aus, wird euch diese Empfehlung nach Abschluss des Scanvorganges sowieso in der C:\EOMTSummary.txt angezeigt. Dieses Listing soll euren Vorgang nur etwas beschleunigen, denn der Scanvorgang kann einige Zeit in Anspruch nehmen. Ach ja einen iisreset nach dem Ändern der web.config solltet ihr nicht vergessen. Zur Erklärung, der nachfolgende Konfigurationsabschnitt blockiert die entsprechenden Cookies, welche für die oben genannte Sicherheitslücke benötigt bzw. genutzt werden.

    <system.webServer>

        ...
        <rewrite>
            <rules>
                <rule name="X-AnonResource-Backend Abort - inbound">
                    <match url=".*" />
                    <conditions>
                        <add input="{HTTP_COOKIE}" pattern="(.*)X-AnonResource-Backend(.*)" />
                    </conditions>
                    <action type="AbortRequest" />
                </rule>
                <rule name="X-BEResource Abort - inbound" stopProcessing="true">
                    <match url=".*" />
                    <conditions>
                        <add input="{HTTP_COOKIE}" pattern="(.*)X-BEResource=(.+)/(.+)~(.+)" />
                    </conditions>
                    <action type="AbortRequest" />
                </rule>
            </rules>
        </rewrite>
    </system.webServer>

Als weiteren Standard-Punkt bei jedem Betriebssystem, solltet ihr das Administrationskonto deaktivieren und gegen ein eigenes Administrationskonto austauschen. Der Exchange-Server ist von außerhalb erreichbar und nach ausreichender Zeit, könnte das Passwort durch eine Brute-Force-Attacke fallen. Ihr tut euch bei jeder Installation von Software einen Gefallen, wenn ihr das standardisierte Administratorkonto deaktiviert! Natürlich solltet ihr auch eine geeignete Firewall-Software bzw. Sicherheitssoftware installieren, welche euren Exchange-Server zusätzlich absichern. Im Grunde hat hier fast jeder Softwarehersteller für Antivirenprogramme eine entsprechende Lösung parat. Wer genügend Vertrauen in die Fähigkeiten von Microsoft hat, muss nicht unbedingt eine zusätzliche Softwarelösung installieren. Empfehlenswert, ist diese Vorgehensweise allerdings nicht! Und man sollte gewisse “Kleinigkeiten” im Umgang mit dem Exchange-Server beachten!

Frank Zöchling hat hier einen kleinen Beitrag zum Härten eines Exchange-Servers (2016) bereitgestellt.