📩 Kategorie: Server   2020/10   â–œ 2020   1 Ergebnis

Microsoft Windows Server, aktuelle Version und verwandte Backend-Produkte des Herstellers

Inhaltsverzeichnis
  1. Exchange-LĂŒcke: 40.000 Server ungepatcht 2

Exchange-LĂŒcke: 40.000 Server ungepatcht

Bereits im Februar 2020 hat Microsoft kritische #SicherheitslĂŒcken im #Exchange Server geschlossen. Sie ermöglicht es Angreifern, das System ĂŒber das Internet (per Web App bzw. die Push-E-Mail-Schnittstelle) komplett zu ĂŒbernehmen. Die LĂŒcke betrifft alle Exchange Server ab 2003. Patches stehen jedoch nur fĂŒr die noch unterstĂŒtzten Exchange Versionen: 2013, 2016 und 2019 zur VerfĂŒgung. Außerhalb der Reihe auch noch ein Notfallpatch fĂŒr Exchange 2010 (hier war der offizielle Support bereits im Februar 2020 beendet).

Weil die Sicherheitsforscher immer 90 Tage nach einem Patch die Funktionsweise von SicherheitslĂŒcken veröffentlichen, besteht ein hohes Risiko. Internet-Analysen haben bestĂ€tigt, dass (Stand gestern) ĂŒber 40.000 Server weltweit nicht gepatcht sind.

Handlungsbedarf

Im Dokument zur CVE-2020-0688 ist beschrieben, was zu tun ist. Wer noch Exchange 2010 im Einsatz hat, sollte sich zusĂ€tzlich zeitnah ĂŒberlegen, nach Exchange online zu migrieren (Listenpreis pro User/Postfach/Monat rund 4,20 €). Die Miete von Exchange ist unter Betrachtung der Leistungsmerkmale und Sicherhit/VerfĂŒgbarkeit haushoch ĂŒberlegen gegenĂŒber dem Neukauf aller Lizenzen und der AufrĂŒstung der Server. Zudem entfĂ€llt der hohe Migrationsaufwand dann nach vollendeter Exchange Online-Migration fĂŒr die Zukunft.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688

Admins, die neuere Versionen einsetzen, haben neben dem Installieren des Sicherheitspatches erst wieder Handlungsbedarf, wenn die Hardware Garantie ablĂ€uft. Dann wird die Online Migration auch fĂŒr diese Szenarien wirtschaftlich und interessant.