Microsoft Exchange Server – Kritische Schwachstellen gepatcht

Microsoft Exchange Server – Kritische Schwachstellen gepatcht.

Im Rahmen des Pwn2Own-Wettbewerbs 2021 wurden weitere Schwachstellen im Microsoft Exchange Server gefunden. Über die Schwachstellen ist es möglich, beliebigen Code remote mit privilegierten Rechten auszuführen und/oder Informationen auszulesen. Von Microsoft wurden bereits Sicherheitsupdates zur Verfügung gestellt.

Alle Versionen ab Microsoft Exchange Server 2013 sind von den Sicherheitslücken betroffen. Ob ältere Versionen des Microsoft Exchange Servers ebenfalls betroffen sind, kann aktuell nicht bestätigt werden – es ist jedoch davon auszugehen. Die Schwachstellen werden als kritisch eingestuft. Eine Bewertung durch die NIST steht noch aus.

Die neuen identifizierten Schwachstellen CVE-2021-33766, CVE-2021-34473 und CVE-2021-34523 wurden bereits mit dem Sicherheitsupdate im April 2021 behoben.

Für die anderen neuen identifizierten Schwachstellen CVE-2021-31196, CVE-2021-31206, CVE-2021-33768 und CVE-2021-34470 wurden am 13.07.2021 durch Microsoft Sicherheitsupdates zur Verfügung gestellt:

Version	CVE	Link
Microsoft Exchange Server 2019 Cumulative Update 10	CVE-2021-31196 CVE-2021-31206 CVE-2021-33768	microsoft.com
Microsoft Exchange Server 2019 Cumulative Update 10	CVE-2021-34470	microsoft.com
Microsoft Exchange Server 2019 Cumulative Update 9	CVE-2021-31196 CVE-2021-31206 CVE-2021-33768	microsoft.com
Microsoft Exchange Server 2019 Cumulative Update 9	CVE-2021-33766 CVE-2021-34473 CVE-2021-34523	microsoft.com
Microsoft Exchange Server 2019 Cumulative Update 8	CVE-2021-33766 CVE-2021-34473 CVE-2021-34523	microsoft.com
Microsoft Exchange Server 2016 Cumulative Update 21	CVE-2021-31196 CVE-2021-31206 CVE-2021-33768	microsoft.com
Microsoft Exchange Server 2016 Cumulative Update 21	CVE-2021-34470	microsoft.com
Microsoft Exchange Server 2016 Cumulative Update 20	CVE-2021-31196 CVE-2021-31206 CVE-2021-33768	microsoft.com
Microsoft Exchange Server 2016 Cumulative Update 20	CVE-2021-33766 CVE-2021-34473 CVE-2021-34523	microsoft.com
Microsoft Exchange Server 2016 Cumulative Update 19	CVE-2021-33766 CVE-2021-34473 CVE-2021-34523	microsoft.com
Microsoft Exchange Server 2013 Cumulative Update 23	CVE-2021-31196 CVE-2021-31206 CVE-2021-34470	microsoft.com
Microsoft Exchange Server 2013 Cumulative Update 23	CVE-2021-33766 CVE-2021-34473 CVE-2021-34523	microsoft.com

Es wird empfohlen, die Sicherheitsupdates zeitnah zu installieren. Ob die Schwachstellen im Zusammenhang mit der Hacker-Gruppierung Hafnium stehen, kann derzeit noch nicht beantwortet werden.

Wir unterstützen Sie bei der externen Überprüfung Ihrer Systeme. Wenden Sie sich dazu gerne an it-security@bechtle.com oder direkt an Ihren persönlichen Bechtle Ansprechpartner.