Exchange | PBCS IT-News

PBCS IT-News IT. Web. Einfach. Aktuell. Webdesign und Nachrichten https://wp.pbcs.de

Inhaltsverzeichnis
Neue Outlook app – Autoupdate ab Jan 2025 2 - 4
Exchange 16/19, Office16/19, Win10 Ende - Okt 2025 5
Exchange gefällig? - gefährlich? 6 - 7
Exchange Server unbedingt patchen 8
Exchange Server On-Prem Risiko 9 - 10
Microsoft macht alten Exchange die Tür zu 11
Warum Exchange Server nicht mehr zeitgemäß sind 12 - 13
Exchange DSGVO Meldung? 14 - 15
Voller Funktionsumfang nur noch bei Microsoft 365 und Office 2019 16 - 17
Exchange Server kritische Sicherheitslücke 18
Exchange-Lücke: 40.000 Server ungepatcht 19
Microsoft Produkte ohne Sicherheits-Updates 20

Neue Outlook app – Autoupdate ab Jan 2025

{Update 6.1.25: das Remediation Script mit den Änderungen wurde ergänzt – das Vorige zeigte nur den Status an} Microsoft hat bekanntgegeben, dass Geschäftskonten (also beispielsweise Microsoft 365 Business Premium) ab Januar 2025 automatisch auf die neue #Outlook app umgestellt werden.

Wir raten dringend davon ab, auf das neue Outlook umzustellen. Ergreifen Sie bitte Maßnahmen, stattdessen Outlook Classic weiterzuverwenden! Dies gilt grundsätzlich, insbesondere, wenn Sie noch nicht One Version mit gevis ab Business Central Version 23 einsetzen.

Das neue Outlook ist nur solange für den reinen E-Mail-Empfang unkritisch (außer dass Funktionen gegenüber Outlook classic fehlen), solange man seine E-Mails auch in Exchange online hat (also auch im Microsoft Tenant). In dem Fall greift die neue app direkt auf den Tenant zu und stelle E-Mails und Kalender identisch zur Outlook Web app dar. Schließlich ist die MSIX App ein „Wrapper“ um den Webseiten-Aufruf von OWA).

Kritisch wird es, wenn man noch Microsoft #Exchange Server 2019 oder älter einsetzt, denn das neue Outlook kann nicht auf Exchange On-Premises oder gehostete Exchange Server zugreifen.

Falls also die in unserem anderen Artikel beschriebene Richtlinie (bzw. Registrykey) nicht funktioniert, muss man ein Powershell-Skript – am besten täglich laufen lassen, dass verhindert, das die neue Outlook app Outlook Classic deaktiviert oder entfernt.

# Define registry path and value
$registryPath = "HKCU:SoftwarePoliciesMicrosoftoffice16.0outlookpreferences"
$valueName = "NewOutlookMigrationUserSetting"

# Check if the registry path exists
if (Test-Path $registryPath) {
    # Check if the DWORD value exists
    $value = Get-ItemProperty -Path $registryPath -Name $valueName -ErrorAction SilentlyContinue
    if ($value -ne $null) {
        # Check if the value is set to 0
        if ($value.$valueName -eq 0) {
            Write-Output "Registry key and DWORD exist, and NewOutlookMigrationUserSetting is set to 0."
            exit 0
        }
        else {
            Write-Output "Registry key and DWORD exist, but NewOutlookMigrationUserSetting is not set to 0."
            exit 1
        }
    }
    else {
        # DWORD does not exist
        Write-Output "Registry key exists, but the DWORD NewOutlookMigrationUserSetting does not exist."
        exit 1
    }
}
else {
    # Registry path does not exist
    Write-Output "Registry path does not exist."
    exit 1
}

Das oben genannte Script zeigt den Status an, das folgende setzt die Registry-Einstellungen:

# Define registry path and value
$registryPath = "HKCU:SoftwarePoliciesMicrosoftoffice16.0outlookpreferences"
$valueName = "NewOutlookMigrationUserSetting"
$valueData = 0

# Create the registry path and set the DWORD value to 0
Write-Output "Creating registry path and setting $valueName to $valueData in $registryPath"
New-Item -Path $registryPath -Force | Out-Null
Set-ItemProperty -Path $registryPath -Name $valueName -Value $valueData -Type DWord

Write-Output "Registry key and value have been set successfully."

Wir empfehlen ein kombiniertes Script zum Einsetzen z.B. als Windows-Aufgabe:

# Define registry path and value
$registryPath = "HKCU:SoftwarePoliciesMicrosoftoffice16.0outlookpreferences"
$valueName = "NewOutlookMigrationUserSetting"

# Check if the registry path exists
if (Test-Path $registryPath) {
    # Check if the DWORD value exists
    $value = Get-ItemProperty -Path $registryPath -Name $valueName -ErrorAction SilentlyContinue
    if ($value -ne $null) {
        # Check if the value is set to 0
        if ($value.$valueName -eq 0) {
            Write-Output "Registry key and DWORD exist, and NewOutlookMigrationUserSetting is already set to 0."
            
        }
        else {
            # Set the value to 0
            Set-ItemProperty -Path $registryPath -Name $valueName -Value 0
            Write-Output "Registry key and DWORD exist, but NewOutlookMigrationUserSetting was not 0. It has been set to 0."
            
        }
    }
    else {
        # DWORD does not exist
        Write-Output "Registry key exists, but the DWORD NewOutlookMigrationUserSetting does not exist."
        
    }
}
else {
    # Registry path does not exist
    Write-Output "Registry path does not exist."
    
}

Noch kritischer – auch aus Sicht der Datenschützer wird es, wenn man andere Konten in die neue Outlook-app einträgt (GMX, Web.de oder IMAP-Konten) oder sie mit einem privaten Konto verwendet. In allen Fällen werden Daten vom Microsoft Webdienst herangeholt und dann an die Outlook App übertragen. Bei Outlook Classic erfolgen alle Zugriffe direkt zum Ziel.

Übrigens: Microsoft schreibt, dass Outlook Classic (also wenn man die Win32 Anwendung als Kauf- oder Miet-Version lizenziert hat) noch bis 2028 unterstützt wird. Danach gibt es entweder keine Exchange Server mehr oder die app kann auch mit Exchange Servern verbinden.

Fazit: Verhindern Sie bitte aktiv die Umstellung auf das neue Outlook und bleiben beim „Outlook classic“. Bis 2028 die Sicherheitsupdates für Outlook Classic eingestellt werden, hoffen wir, dass das neue Outlook die gleichen Funktionen bietet.

Exchange 16/19, Office16/19, Win10 Ende - Okt 2025

Am 14. Oktober 2025 ist der letzte Patchday für Sicherheitsupdates und die oben genannten Produkte. Selbst wer die Kaufversionen von Office 2021 LTSC einsetzt, bekommt nur bis Oktober 2026 Sicherheitsupdates - #endoflife.

[time_until date="14.10.2025"]

Wie Microsoft im #Exchange Blog schreibt, wird es im Herbst zwar auch eine weitere Kauf-Version vom Exchange Server 2025 geben, aber auch nur mit 5 Jahren "modern Support Cycle", also mit Updates bis Herbst 2029. Außerdem müssen alle, die derzeit Exchange 2016 Server einsetzen, auf Exchange 2019 updaten, um dann auf Exchange 2025 zu migrieren.

Beim #Office sind die Nebenwirkungen, dass man nur noch mit Office 2021 LTSC und nur bis Oktober 2026 auf Exchange online und Exchange 2025 zugreifen können wird. Im Sommer 2024 erscheint Office 2024 als weitere Kaufversion (Supportende Sommer 2029)

Langfristig und kaufmännisch betrachtet, ist allein wegen der monatlichen Funktionsupdates und 1TB Cloudspeicher in der EU-Cloud, erweitertem Virenschutz und Teams, Sharepoint-Funktionen, Mail-Archiv und Exchange Postfach, sowie MFA mit Conditional Access der Microsoft 365 Business Premium Plan zukunftsweisend. Für alle, die weder Office, noch E-Mail benötigen, sind die Einzelpläne für AVD, Virenschutz und MFA mit bestem Preis-/Leistungsverhältnis.

Exchange gefällig? - gefährlich?

Eine aktuelle Analyse im Internet zeigt: Von etwa 45.000 Microsoft-Exchange-Servern in Deutschland, die über das Internet via Outlook Web Access (OWA) erreichbar sind, gibt es leider immer noch viele veraltete und unsichere Versionen.

Das Bundesamt für Sicherheit in der Informationstechnik hat festgestellt, dass rund 12 % dieser Server noch mit Exchange 2010 bzw. 2013 laufen, für die seit Oktober 2020 bzw. April 2023 keine Sicherheitsupdates mehr erhältlich sind. Außerdem sind ungefähr 28 % der Server mit den neueren Versionen Exchange 2016 oder 2019 nicht auf dem neuesten Stand und haben daher eine oder mehrere kritische Sicherheitslücken, die es einem Angreifer von außen ermöglichen, beliebige Programme auf dem angegriffenen System auszuführen (Remote Code Execution, RCE). #Wichtig - das entspricht rund 25 % aller Exchange-Server in Deutschland.

Wer #Exchange Server 2010 oder 2013 einsetzt ODER Exchange Server 2016 oder 2019 nicht mit allen verfügbaren Patches einsetzt, ist entweder schon unter Kontrolle der kriminellen Banden, hat Datenabfluss und Kompromittierung nur noch nicht bemerkt oder hat ein kritisches Risiko, gehackt zu werden.

Auch wenn alle Patches auf einem Exchange Server 2019 installiert sind, bleibt das Betriebs-Risiko wegen Zero-day-Lücken immer bis zum nächsten Patchday kritisch (also bis zu einem Monat!)

Cyber-Versicherungen lassen sich entweder gar nicht erst abschließen oder verweigern die Leistung im Schadenfall. Insbesondere weil mit Rechtswirksamkeit von NIS2 auch viele KMU-Unternehmen in die KRITIS Klasse 2 fallen, ist zusätzlich mit hohen Geldbußen und Strafen zu rechnen.
BSI Veröffentlichungen

Was ist zu tun?

[faq openfirst=1]Sie haben Exchange Server 2010/2013 im Einsatz?|=|Migrieren Sie umgehend auf Exchange online.
||Sie haben Exchange Server 2016/2019 im Einsatz?|=|Installieren Sie alle verfügbaren Updates, Sicherheitspatches und CUs und migrieren Sie ebenfalls umgehend auf Exchange online.
||Sie haben schon Exchange online?|=|Microsoft kümmert sich um die Updates und hat das primäre Betriebsrisiko und die Sicherstellung der Verfügbarkeit im Rahmen ihrer SLA vertraglich mit Ihnen geregelt.[/faq]

Exchange Server unbedingt patchen

#Wichtig - die zuletzt für #Exchange 2016 und 2019 geschlossenen, kritischen #Sicherheitslücken aus CVE-2024-21410, mit denen Angreifer leichtes Spiel haben, Exchange Server unter ihre Kontrolle zu bringen und Schadsoftware einzuschleusen, werden derzeit aktiv ausgenutzt.

Sollten Sie noch Exchange Server 2016 oder 2019 im Einsatz haben, ist das Installieren der Patches überlebenswichtig, da es sonst nur eine Frage der Zeit ist, wann Ihr Server übernommen wird.

Mehr Details und welcher Patch für welche Exchange Version installiert sein muss, finden Sie im unten verknüpften Artikel.

Kunden mit Microsoft 365 / Exchange online sind wieder einmal nicht betroffen, da Microsoft dort die Sicherheitslücken selbst und vor Veröffentlichung geschlossen hat.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410

Exchange Server On-Prem Risiko

Wenn in Programmen Sicherheitslücken entdeckt werden, leisten viele Hersteller im Rahmen der Lebenszyklen von Software Sicherheitsupdates. Aber: Syskos bzw. Admins sind verpflichtet, diese zeitnah zu installieren. Sonst nehmen Versicherungen Kürzungen der Leistungen vor.

Aus Sicht der Geschäftsführenden oder Entscheider hat das potentielle Risiko eine höhere Bedeutung als die für den Einsatz der Software aufgewendeten Kosten. Schließlich müssen auch die administrativen Tätigkeiten bezahlt werden, da das Fachpersonal während des Patchens keine anderen Aufgaben wahrnehmen kann.

Durch Umstellung auf Exchange online verlagern Sie das operative Risiko auf die Microsoft Deutschland GmbH. Diese müssen erkannte Sicherheitslücken sofort schließen, im Schadenfall sind sie normalerweise regresspflichtig.

Microsoft hat derzeit Exchange Server 2019 (Nutzungsrechte per Kauf (mit oder ohne Wartung) auf der Produktliste. Dabei kostet der Server rund 1.000 € und pro Nutzer jeweils eine Zugriffslizenz von etwa 150 €. Hinzu kommen die Kosten für Einrichtung und die Wartungs- und Betriebskosten, sowie Hardware-Ressourcen (128++ GB RAM, 4 vCPUs, schnelle SSDs mit rund 1TB Speicher oder mehr).

Die Gefahr: Wie aktuell (November 2023) sind vier Sicherheitslücken mit unterschiedlichem Wirkungsgrad entdeckt worden. Eine davon wurde von Microsoft geschlossen, sie bleibt aber solange gefährlich, bis der Admin den Patch auf dem Exchange Server installiert hat.

Lösung: Lassen Sie zeitnah Ihren Microsoft #Exchange Server 201x, egal, ob er in Ihren Räumlichkeiten oder in einem Rechenzentrum (Housing) für Sie bereitgestellt wird, auf Exchange online umstellen.

Nebeneffekt. Alle derzeit verfügbaren Office 201X Versionen bekommen ab Herbst 2026 oder bereits ab Oktober 2025 keine Sicherheitsupdates mehr. Mit dem Microsoft 365 Business Premium Plan erhalten Sie neben dem vorgeschriebenen E-Mail-Archiv Viren- und Spamschutz für E-Mails, Virenschutz für das Endgerät, Exchange Online-Postfach, 1 TB Cloudspeicher (EU-Datenschutz-Grenze) pro (User-)Lizenz, alle Office-Anwendungen als installierbares Programm mit Remote-Nutzungsrechten für On-Prem und die Cloud, Sharepoint für gemeinsames Arbeiten an Dateien, die Teams-Lizenz.

Zusätzlich ist Microsoft EntraID Plan 1 enthalten, der es Ihnen ermöglicht, die bald erzwungene 2-Faktor-Authentifizierung (2FA) auch mit anderen Mitteln als der Authenticator-App auf einem Dienst-Handy durchzuführen. Details haben wir in einem separaten Artikel hier im Blog für Sie zusammengefasst.

Eine Übersicht der Funktionen hier:
https://m365maps.com/files/Microsoft-365-Business-Premium.htm

Microsoft macht alten Exchange die Tür zu

Wie aktuelle Statistiken beweisen, sind noch zigtausende alte #Exchange Server im Internet erreichbar und versenden (da solche Server meist schon - auch ohne das der Betreiber es merkt - unter der Kontrolle Krimineller sind) E-Mails und Spams.

Da nur noch Exchange Server mit Version 2016 und 2019 #Sicherheitsupdates bekommen, stellen die alten Versionen 2007, 2010 und 2013 ein hohes Risiko dar. Microsoft hat daher beschlossen, auf seinen Onlinediensten (Exchange Online/Microsoft 365) den Empfang von Mailservern der unsicheren Art zu verhindern, indem dort der absendende Server aus den E-Mail-Kopfzeilen ausgelesen wird und bei feststellen von einem Exchange 2007/10/13 die E-Mail abgewiesen (gebounct) wird.

Die Block-Regel für Exchange Server 2007 wird kurzfristig aktiviert, 2010 und 2013 sollen dann sukzessive folgen.

#Wichtig - Wer noch einen Exchange Server 2007, 2010 oder 2013 betreibt, sollte umgehend handeln (Version 2019 lizensieren (Ende der Sicherheitsupdates ist bereits am 14.Okt 2025 und einen Nachfolger kann man nur noch mieten!) oder besser: auf Exchange online umstellen) oder damit rechnen, dass er viele seiner Kunden und Lieferanten (alle Empfänger, die bereits Microsoft Online-Diente nutzen) nicht mehr erreichen können wird.
Quelle: Microsoft Artikel - https://aka.ms/BlockUnsafeExchange

Warum Exchange Server nicht mehr zeitgemäß sind

Bereits im März und im April wurden in den #Exchange Server Produkten kritische #Sicherheitslücken geschlossen. Die als #Hafnium betitelten Angriffe auf Server weltweit machten Schlagzeilen und sorgten für zahlreiche Schäden und Ausfälle.

Exchange 201x versus Exchange online

Bei Einsatz und Betrieb eines Exchange Servers im eigenen Hause ist der IT-Administrator für das manuelle Installieren der Sicherheitsupdates auf den Servern verantwortlich. Im Gegensatz zu den halbautomatisch (nur installieren und neu starten) durchführbaren Windows Updates erfordert die Installation von Exchange Patches größere Wartungsfenster und sie müssen komplett von Hand heruntergeladen und installiert werden. Vielfach sind mehrere Updates und Neustarts des Exchange Servers erforderlich.

Mit dem Online Dienst "Exchange online" kümmert sich Microsoft um alle Updates der Plattform. Die Erfahrung hat gezeigt, dass erkannte Sicherheitslücken dort 2-3 Wochen eher geschlossen sind, bevor sie in den Medien publik werden.

Mit Skykick Backup lassen sich auch Langzeit-Sicherungs- und Aufbewahrungs-Szenarien abbilden, so dass auch die Datenmengen in der Bandsicherung von veeam signifikant reduziert werden und die Nachtsicherung schneller fertig ist.

Kritische Sicherheitslücken auch im Mai 2021 geschlossen

Am Dienstag (gestern) um 1900 Uhr war wieder Patchday. Wieder wurden kritische Lücken geschlossen. Wie auch im April gab es KEINE Updates mehr für den Exchange Server 2010. Wer ein solch altes Produkt noch im Einsatz hat, handelt vorsätzlich und Versicherungen kürzen die Leistungen im Schadenfall rigoros.

Die aktuellen Mai-Updates setzen wieder voraus, dass der Exchange Server den Update-Stand von April bereits hat, ansonsten müssen auch die Updates von April zuvor installiert werden. Das sind:

Exchange Server 2013 CU23
Exchange Server 2016 CU19 and CU20
Exchange Server 2019 CU8 and CU9
Quelle: Microsoft Security Blog

Fazit

Das Risiko, Opfer eines Angriffs mit einem Exchange Server im Hause zu werden ist, mit allen Konsequenzen auch im Datenschutz- und strafrechtlichen Bereichs kritisch. Unternehmen sollten umgehend auf Exchange online in Verbindung mit Skykick Langzeitsicherung umstellen. Auch im Mai gilt wieder: Alle Exchange online Kunden sind nicht betroffen. Stellen Sie auf Exchange online um, um die Sicherheit zu erhöhen.

Exchange DSGVO Meldung?

Am 04. März berichteten wir über die von #Microsoft am 03. März für alle #Exchange Server geschlossene, kritische #Hafnium #Sicherheitslücken. Die Lücke ist sehr gefährlich und wird weltweit massenhaft von Hackern ausgenutzt. Wir hatten darüber auch in einem Sondernewsletter zeitnah informiert.

Betroffen sind alle Betreiber von Exchange Servern im eigenen Hause und Kunden, die Ihren Mailserver in einem Rechenzentrum untergestellt haben (Housing). Leider haben immer noch viele Administratoren nicht reagiert und es gibt weiterhin ungepatchte Server. Nur Kunden mit Exchange online sind nicht betroffen.

Q: Wie finde ich heraus, ob ich schon Exchange online habe?
A: Rufen Sie unten stehende Seite auf und geben Ihren E-Mail-Domainnamen ein. Kommt als Antwort beim Domainnamen mail.protection.outlook.com oder bei der IP-Adresse Microsoft Corporation vor, nutzen Sie den Microsoft Online-Dienst Exchange online. Zusätzlich müssen Sie noch herausfinden, dass bei Ihren Servern im Hause kein Exchange Server in Betrieb ist (möglicher Hybridbetrieb).
https://mxtoolbox.com/SuperTool.aspx

Nun schalten sich die Datenschutzbehörden ein. Nach der Datenschutz-Grundverordnung besteht in vielen Fällen eine Meldepflicht gemäß Art. 33 #DSGVO. Die für den Verzicht auf die Meldung maßgeblichen Feststellungen, d. h. insbesondere die kompletten Untersuchungen des Mail-Servers und seiner Verbindungen ins übrige Netzwerk des Unternehmens sind umfassend zu dokumentieren.

In der Praxis bedeutet das im Falle Exchange Server 2010/2013/2016/2019:

Wenn festgestellt wurde, dass eine Kompromittierung und Zugriffe auf die Mailboxen erfolgt ist
oder wenn die notwendigen Patches nach dem 09. März 2021 installiert wurden
und wenn nicht dokumentiert werden kann, dass kein erfolgreicher Zugriff erfolgt ist

besteht Meldepflicht und Unternehmen müssen sich quasi selbst anzeigen.

Erste Indizien und Unterstützung zur Dokumentation liefert dieses Microsoft Powershell Script in diesem Zusammenhang. Zusätzlich muss das Microsoft Support Emergency Response Tool heruntergeladen, installiert und ausgeführt werden. Ein aktueller Kaspersky Virenscanner meldet auch einen stattgefundenen Befall. Ob die Werkzeuge ausreichen, um hinreichend gegenüber den Datenschutz-Behörden zu dokumentieren, lässt sich nur von Juristen und Datenschutzbeauftragten beantworten.

Für weitere Details zu den Datenschutz-Themen wenden Sie sich bitte an Ihren verantwortlichen Datenschutz-Beauftragten.

Voller Funktionsumfang nur noch bei Microsoft 365 und Office 2019

Die Anschaffung eines neuen #Exchange-Servers oder die Aktualisierung des Produkts ist im Durchschnitt mit sehr hohen Investitionen im 5-stelligen Bereich verbunden. Ein Exchange online Postfach ist hingegen schon für rund 4 Euro pro Monat erhältlich.
Microsoft hält den Server dann immer auf dem neusten Stand und auch die Administration erfolgt über ein Web-Interface. Der Zugriff auf das Postfach kann im Browser (z.B. Google Chrome Enterprise oder dem neuen Microsoft Edge Enterprise) erfolgen.
Wer mehr Komfort haben möchte, verwendet #Outlook. Das wiederum funktioniert am Besten, wenn man einen der Microsoft 365 Pläne mietet.

Möchte man vorhandene #Office oder Outlook-Versionen nutzen, haben aktuell nur noch Microsoft 365 und Version 2019 die volle Funktionalität. Ansonsten wird man immer 5 Jahre nach Erscheinen mit Einschränkungen leben müssen, d. h. es funktioniert nicht mehr alles. Schlimmstenfalls ist keine Verbindung zum Online-Dienst oder dem Exchange-Server im Hause mehr möglich.

Fazit und Empfehlung

Nur Microsoft 365 und Office bzw. Outlook 2019 funktionieren ohne Einschränkungen.

• Minimum: Exchange Online beauftragen (Einrichtung, Onboarding, Datenübernahme, SSL-Zertifikat (jährlich), Microsoft 365 Defender ATP (Einrichtung und monatlich) und monatlich ab ca. 4 €). Zugriff über Webbrowser.
• Komfort und maximale Flexibilität: Exchange online wie oben + Microsoft 365 Business Premium Plan (enthält auch überall installierbare und verwendbare Office Apps und die Betriebssystem-Lizenz für virtual Desktops )

Unabhängig davon, ob man den Microsoft 365 Plan nutzt, oder Office 2019 einsetzt, sollte der Update-Mechanismus 1x im Monat für Sicherheits-Updates (und bei 365) auch für nützliche neue Funktionen und die Nutzung der Funktionen ohne Einschränkungen erlauben.

Quellennachweise

„Microsoft 365 works with any version of Outlook that is in mainstream support […] Only those that have extended support may continue to work with Microsoft 365, although with reduced functionality.“
https://docs.microsoft.com/de-de/officeupdates/outlook-updates-msi

Für Outlook 2016 gilt seit Oktober 2020 schon eine eingeschränkte Funktionalität mit Exchange Online! Es gibt bis 14.10.2025 nur noch Sicherheitsupdates.
https://docs.microsoft.com/de-de/lifecycle/products/outlook-2016

Für Outlook 2013 war der Mainstream-Support bereits April 2018 beendet. Bis 11.04.2023 sind nur noch Sicherheitsupdates verfügbar.
https://docs.microsoft.com/de-de/lifecycle/products/outlook-2013

Exchange Server kritische Sicherheitslücke

Akute #Sicherheitslücken in #Exchange Servern 2010, 2013, 2016 und 2019 ermöglicht es Angreifern, Kontrolle über das System zu bekommen und Schadsoftware einzuschleusen. Die Lücke ist nach einer chinesischen Hackergruppe #Hafnium benannt.

Microsoft hat für die Lücke einen Patch bereit gestellt, der unbedingt zeitnah installiert werden muss.

Die Microsoft Cloud-Dienste (Exchange online) sind nicht von der Lücke betroffen bzw. wurde der Patch dort schon von Microsoft installiert.

Aktionen / Maßnahmen

Wenn Sie noch einen Exchange Server im eigenen Hause in Betrieb haben, installieren Sie unbedingt den Patch mit Stand vom 03. März 2021. Die gepatchten Versionen tragen folgende Nummern:

Quelle: Microsoft Security Update Guide
https://msrc.microsoft.com/update-guide/releaseNote/2021-Mar

Ein Microsoft-Mitarbeiter hat auf GitHub ein Powershell Script öffentlich zur Verfügung gestellt, um den Verwundbarkeits-Status zu prüfen. Exchange 2010 wird vom Script allerdings nicht unterstützt. Gleichwohl gibt es für diesen Server ohne Support auch einen Notfallpatch.

Microsoft Exchange Prüfscript auf Github
https://github.com/dpaulson45/HealthChecker#download

Exchange-Lücke: 40.000 Server ungepatcht

Bereits im Februar 2020 hat Microsoft kritische #Sicherheitslücken im #Exchange Server geschlossen. Sie ermöglicht es Angreifern, das System über das Internet (per Web App bzw. die Push-E-Mail-Schnittstelle) komplett zu übernehmen. Die Lücke betrifft alle Exchange Server ab 2003. Patches stehen jedoch nur für die noch unterstützten Exchange Versionen: 2013, 2016 und 2019 zur Verfügung. Außerhalb der Reihe auch noch ein Notfallpatch für Exchange 2010 (hier war der offizielle Support bereits im Februar 2020 beendet).

Weil die Sicherheitsforscher immer 90 Tage nach einem Patch die Funktionsweise von Sicherheitslücken veröffentlichen, besteht ein hohes Risiko. Internet-Analysen haben bestätigt, dass (Stand gestern) über 40.000 Server weltweit nicht gepatcht sind.

Handlungsbedarf

Im Dokument zur CVE-2020-0688 ist beschrieben, was zu tun ist. Wer noch Exchange 2010 im Einsatz hat, sollte sich zusätzlich zeitnah überlegen, nach Exchange online zu migrieren (Listenpreis pro User/Postfach/Monat rund 4,20 ). Die Miete von Exchange ist unter Betrachtung der Leistungsmerkmale und Sicherhit/Verfügbarkeit haushoch überlegen gegenüber dem Neukauf aller Lizenzen und der Aufrüstung der Server. Zudem entfällt der hohe Migrationsaufwand dann nach vollendeter Exchange Online-Migration für die Zukunft.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688

Admins, die neuere Versionen einsetzen, haben neben dem Installieren des Sicherheitspatches erst wieder Handlungsbedarf, wenn die Hardware Garantie abläuft. Dann wird die Online Migration auch für diese Szenarien wirtschaftlich und interessant.

Microsoft Produkte ohne Sicherheits-Updates

[time_until date="14.01.2020"]

#Microsoft wird keine Sicherheits-Updates mehr für die folgenden Betriebssysteme und Produkte liefern:

Alle Produkte, die die Jahreszahl 2010 im Namen haben (#Exchange 2010, #Office 2010)
Produkte mit 2008 R2 im Namen: #Windows Server 2008 R2
Windows 7

Wie bereits im Detail-Artikel beschrieben, besteht kurzfristig Handlungsbedarf und diese Software und Betriebssysteme müssen ersetzt werden.

(Post ID:1423)

Notwendige	(Pflichtfeld: kann nicht abgewählt werden. Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche ermöglichen. Die Webseite kann ohne diese Cookies nicht funktionieren. )
Komfort	(Optional: Komfort-Cookies ermöglichen unserer Webseite, sich an Informationen zu erinnern, wie sich die Seite verhält, z. B. dass Sie bereits für eine Umfrage oder einen Termin abgestimmt haben.)