Vier 0-Day Exploits in Exchange geschlossen

Mitglied: LordGurke

LordGurke (Level 3) - Jetzt verbinden

02.03.2021 um 23:15 Uhr, 1549 Aufrufe, 11 Kommentare, 1 Danke

Microsoft teilt mit:
Sie haben vier 0-Day-Exploits in Exchange geschlossen, die sich in Kombination ausnutzen lassen, um schlechtestenfalls beliebigen Code in der Identität "SYSTEM" auszuführen oder wenigstens, um eigene Dateien (Scripte) auf das System hochzuladen.
Für letzteres braucht es wohl nichtmal gültige Zugangsdaten, daher hat dieser Exploit auch einen Score von 9,1/10.

Details im Blog von Microsoft:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exc ...
Mitglied: NetzwerkDude
03.03.2021, aktualisiert um 13:58 Uhr
Ah, hatten wir lange nicht mehr so einen schönen RCE :) face-smile

Wer schauen will ob sein Server anfällig ist, es gibt ein schönes NSE Script für nmap:
https://github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange.nse

einfach in /usr/share/nmap/scripts kopieren und dann mit
ausführen

Im Link von LordGurke gibts auch mehrere Powershell/cmd skripte um IOCs zu entdecken falls man schon ge-ownd wurde :) face-smile

MFG
N-Dude
Bitte warten ..
Mitglied: LordGurke
06.03.2021 um 00:30 Uhr
Ein Nachtrag dazu, den ich ungeprüft von Chris Krebs (ehemaliger Chef des US-CISA) übernehme:

This is the real deal. If your organization runs an OWA server exposed to the internet, assume compromise between 02/26-03/03.
Check for 8 character aspx files in C:\\inetpub\wwwroot\aspnet_client\system_web\. If you get a hit on that search, you’re now in incident response mode.

Bitte warten ..
Mitglied: NetzwerkDude
06.03.2021 um 08:23 Uhr
Falls jemand nicht patchen kann, hier ein paar Migitationvorschläge von MS: https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vul ...
Bitte warten ..
Mitglied: Dani
07.03.2021 um 21:46 Uhr
Moin,
Microsoft stellt ein PowerShell Skript zur Überprüfung bereit: CSS-Exchange


Gruß,
Dani
Bitte warten ..
Mitglied: redhorse
07.03.2021 um 21:59 Uhr
Guten Abend,

wir haben den Patch am Mittwoch auf unseren Exchange 2016 CU 18 eingespielt, das Powershell Script hat heute nichts gefunden außer ein paar verdächtige Archive (VMware Tools und McAfee).

Wir haben ausschließlich ActiveSync über einen Reverse-Proxy nach außen freigegeben, ist diese Konstellation überhaupt von der Lücke betroffen?
Bitte warten ..
Mitglied: Dani
07.03.2021 um 22:16 Uhr
Moin,
bitte für Fragen nicht einfach den Informationsbeitrag "kapern".
Am besten eine neue Frage mit deinen Rahmenbedingungen erstellen.


Gruß,
Dani
Bitte warten ..
Mitglied: LordGurke
08.03.2021 um 11:31 Uhr
Uuuuund es geht los!
Allerdings sind diese nett gemeinten Benachrichtungen an Provider zwar nett, aber auch sinnlos, wenn sie den 03. März als Datenbasis angeben...

screenshot_20210308-112443__01 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: LordGurke
08.03.2021 um 18:59 Uhr
Oh, das CERT-BUND hat eine E-Mail nachgelegt.
Heute Morgen gegen 03:00 Uhr haben sie in unserem AS noch immer 41 ungepatchte Exchange-Server gefunden...
Sportlich!
Bitte warten ..
Mitglied: Dani
08.03.2021, aktualisiert um 20:04 Uhr
Moin,
Heute Morgen gegen 03:00 Uhr haben sie in unserem AS noch immer 41 ungepatchte Exchange-Server gefunden...
Sportlich!
Was glaubst du wie viele Kunden bzw. IT Admins heute Morgen überrascht worden sind?!
Abgesehen davon wie viele überhaupt keine IT News lesen.


Gruß,
Dani
Bitte warten ..
Mitglied: LordGurke
12.03.2021 um 11:40 Uhr
Neue Liste vom BSI.
Und die ist jetzt sogar 12 Einträge länger als die Liste von vor 4 Tagen...
Huch?!
Bitte warten ..
Mitglied: LordGurke
12.03.2021 um 18:36 Uhr
Nächste Eskalationsstufe: Der Betreff der BSI-Mails hat sich von "Verwundbare Exchange-Server" in "Komprommittierte Exchange-Server" verändert.
Ich wasche meine Hände in Unschuld - alle betroffenen Kunden sind spätestens Montag von uns informiert worden.

bsi-exchange2 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
1nCoreVor 1 TagFrageFestplatten, SSD, Raid14 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 17 StundenTippErkennung und -Abwehr3 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...

LAN, WAN, Wireless
WLAN Bridge mit VLAN Übertragung
kcmurdocVor 1 TagFrageLAN, WAN, Wireless18 Kommentare

ich bin leider im Netzwerk Thema nicht so drinne. Daher wende ich mich an euch. Folgende Aufgabe habe ich. Aktuell gibt es in einem ...