11
Vier 0-Day Exploits in Exchange geschlossen
Microsoft teilt mit:
Sie haben vier 0-Day-Exploits in Exchange geschlossen, die sich in Kombination ausnutzen lassen, um schlechtestenfalls beliebigen Code in der Identität "SYSTEM" auszuführen oder wenigstens, um eigene Dateien (Scripte) auf das System hochzuladen.
Für letzteres braucht es wohl nichtmal gültige Zugangsdaten, daher hat dieser Exploit auch einen Score von 9,1/10.
Details im Blog von Microsoft:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exc ...
Sie haben vier 0-Day-Exploits in Exchange geschlossen, die sich in Kombination ausnutzen lassen, um schlechtestenfalls beliebigen Code in der Identität "SYSTEM" auszuführen oder wenigstens, um eigene Dateien (Scripte) auf das System hochzuladen.
Für letzteres braucht es wohl nichtmal gültige Zugangsdaten, daher hat dieser Exploit auch einen Score von 9,1/10.
Details im Blog von Microsoft:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exc ...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 657824
Url: https://administrator.de/contentid/657824
Printed on: April 19, 2024 at 17:04 o'clock
11 Comments
Latest comment
Ah, hatten wir lange nicht mehr so einen schönen RCE 
Wer schauen will ob sein Server anfällig ist, es gibt ein schönes NSE Script für nmap:
https://github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange.nse
einfach in /usr/share/nmap/scripts kopieren und dann mit
ausführen
Im Link von LordGurke gibts auch mehrere Powershell/cmd skripte um IOCs zu entdecken falls man schon ge-ownd wurde
MFG
N-Dude
Wer schauen will ob sein Server anfällig ist, es gibt ein schönes NSE Script für nmap:
https://github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange.nse
einfach in /usr/share/nmap/scripts kopieren und dann mit
nmap <deine-domain> -p 443 --script http-vuln-exchange Im Link von LordGurke gibts auch mehrere Powershell/cmd skripte um IOCs zu entdecken falls man schon ge-ownd wurde
MFG
N-Dude
Ein Nachtrag dazu, den ich ungeprüft von Chris Krebs (ehemaliger Chef des US-CISA) übernehme:
This is the real deal. If your organization runs an OWA server exposed to the internet, assume compromise between 02/26-03/03.
Check for 8 character aspx files in C:\\inetpub\wwwroot\aspnet_client\system_web\. If you get a hit on that search, you’re now in incident response mode.
Check for 8 character aspx files in C:\\inetpub\wwwroot\aspnet_client\system_web\. If you get a hit on that search, you’re now in incident response mode.
Falls jemand nicht patchen kann, hier ein paar Migitationvorschläge von MS: https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vul ...
Guten Abend,
wir haben den Patch am Mittwoch auf unseren Exchange 2016 CU 18 eingespielt, das Powershell Script hat heute nichts gefunden außer ein paar verdächtige Archive (VMware Tools und McAfee).
Wir haben ausschließlich ActiveSync über einen Reverse-Proxy nach außen freigegeben, ist diese Konstellation überhaupt von der Lücke betroffen?
wir haben den Patch am Mittwoch auf unseren Exchange 2016 CU 18 eingespielt, das Powershell Script hat heute nichts gefunden außer ein paar verdächtige Archive (VMware Tools und McAfee).
Wir haben ausschließlich ActiveSync über einen Reverse-Proxy nach außen freigegeben, ist diese Konstellation überhaupt von der Lücke betroffen?
Moin,
bitte für Fragen nicht einfach den Informationsbeitrag "kapern".
Am besten eine neue Frage mit deinen Rahmenbedingungen erstellen.
Gruß,
Dani
bitte für Fragen nicht einfach den Informationsbeitrag "kapern".
Am besten eine neue Frage mit deinen Rahmenbedingungen erstellen.
Gruß,
Dani
Uuuuund es geht los!
Allerdings sind diese nett gemeinten Benachrichtungen an Provider zwar nett, aber auch sinnlos, wenn sie den 03. März als Datenbasis angeben...
Allerdings sind diese nett gemeinten Benachrichtungen an Provider zwar nett, aber auch sinnlos, wenn sie den 03. März als Datenbasis angeben...
Oh, das CERT-BUND hat eine E-Mail nachgelegt.
Heute Morgen gegen 03:00 Uhr haben sie in unserem AS noch immer 41 ungepatchte Exchange-Server gefunden...
Sportlich!
Heute Morgen gegen 03:00 Uhr haben sie in unserem AS noch immer 41 ungepatchte Exchange-Server gefunden...
Sportlich!
Moin,
Abgesehen davon wie viele überhaupt keine IT News lesen.
Gruß,
Dani
Heute Morgen gegen 03:00 Uhr haben sie in unserem AS noch immer 41 ungepatchte Exchange-Server gefunden...
Sportlich!
Was glaubst du wie viele Kunden bzw. IT Admins heute Morgen überrascht worden sind?!Sportlich!
Abgesehen davon wie viele überhaupt keine IT News lesen.
Gruß,
Dani
Neue Liste vom BSI.
Und die ist jetzt sogar 12 Einträge länger als die Liste von vor 4 Tagen...
Huch?!
Und die ist jetzt sogar 12 Einträge länger als die Liste von vor 4 Tagen...
Huch?!
Nächste Eskalationsstufe: Der Betreff der BSI-Mails hat sich von "Verwundbare Exchange-Server" in "Komprommittierte Exchange-Server" verändert.
Ich wasche meine Hände in Unschuld - alle betroffenen Kunden sind spätestens Montag von uns informiert worden.
Ich wasche meine Hände in Unschuld - alle betroffenen Kunden sind spätestens Montag von uns informiert worden.
