lordgurke
Goto Top

Vier 0-Day Exploits in Exchange geschlossen

Microsoft teilt mit:
Sie haben vier 0-Day-Exploits in Exchange geschlossen, die sich in Kombination ausnutzen lassen, um schlechtestenfalls beliebigen Code in der Identität "SYSTEM" auszuführen oder wenigstens, um eigene Dateien (Scripte) auf das System hochzuladen.
Für letzteres braucht es wohl nichtmal gültige Zugangsdaten, daher hat dieser Exploit auch einen Score von 9,1/10.

Details im Blog von Microsoft:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exc ...

Content-Key: 657824

Url: https://administrator.de/contentid/657824

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: NetzwerkDude
NetzwerkDude 03.03.2021 aktualisiert um 13:58:57 Uhr
Goto Top
Ah, hatten wir lange nicht mehr so einen schönen RCE face-smile

Wer schauen will ob sein Server anfällig ist, es gibt ein schönes NSE Script für nmap:
https://github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange.nse

einfach in /usr/share/nmap/scripts kopieren und dann mit
nmap <deine-domain> -p 443 --script http-vuln-exchange 
ausführen

Im Link von LordGurke gibts auch mehrere Powershell/cmd skripte um IOCs zu entdecken falls man schon ge-ownd wurde face-smile

MFG
N-Dude
Mitglied: LordGurke
LordGurke 06.03.2021 um 00:30:45 Uhr
Goto Top
Ein Nachtrag dazu, den ich ungeprüft von Chris Krebs (ehemaliger Chef des US-CISA) übernehme:

This is the real deal. If your organization runs an OWA server exposed to the internet, assume compromise between 02/26-03/03.
Check for 8 character aspx files in C:\\inetpub\wwwroot\aspnet_client\system_web\. If you get a hit on that search, you’re now in incident response mode.
Mitglied: NetzwerkDude
NetzwerkDude 06.03.2021 um 08:23:37 Uhr
Goto Top
Falls jemand nicht patchen kann, hier ein paar Migitationvorschläge von MS: https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vul ...
Mitglied: Dani
Dani 07.03.2021 um 21:46:03 Uhr
Goto Top
Moin,
Microsoft stellt ein PowerShell Skript zur Überprüfung bereit: CSS-Exchange


Gruß,
Dani
Mitglied: JoeDevlin
JoeDevlin 07.03.2021 um 21:59:27 Uhr
Goto Top
Guten Abend,

wir haben den Patch am Mittwoch auf unseren Exchange 2016 CU 18 eingespielt, das Powershell Script hat heute nichts gefunden außer ein paar verdächtige Archive (VMware Tools und McAfee).

Wir haben ausschließlich ActiveSync über einen Reverse-Proxy nach außen freigegeben, ist diese Konstellation überhaupt von der Lücke betroffen?
Mitglied: Dani
Dani 07.03.2021 um 22:16:30 Uhr
Goto Top
Moin,
bitte für Fragen nicht einfach den Informationsbeitrag "kapern".
Am besten eine neue Frage mit deinen Rahmenbedingungen erstellen.


Gruß,
Dani
Mitglied: LordGurke
LordGurke 08.03.2021 um 11:31:55 Uhr
Goto Top
Uuuuund es geht los!
Allerdings sind diese nett gemeinten Benachrichtungen an Provider zwar nett, aber auch sinnlos, wenn sie den 03. März als Datenbasis angeben...

screenshot_20210308-112443__01
Mitglied: LordGurke
LordGurke 08.03.2021 um 18:59:06 Uhr
Goto Top
Oh, das CERT-BUND hat eine E-Mail nachgelegt.
Heute Morgen gegen 03:00 Uhr haben sie in unserem AS noch immer 41 ungepatchte Exchange-Server gefunden...
Sportlich!
Mitglied: Dani
Dani 08.03.2021 aktualisiert um 20:04:24 Uhr
Goto Top
Moin,
Heute Morgen gegen 03:00 Uhr haben sie in unserem AS noch immer 41 ungepatchte Exchange-Server gefunden...
Sportlich!
Was glaubst du wie viele Kunden bzw. IT Admins heute Morgen überrascht worden sind?!
Abgesehen davon wie viele überhaupt keine IT News lesen.


Gruß,
Dani
Mitglied: LordGurke
LordGurke 12.03.2021 um 11:40:39 Uhr
Goto Top
Neue Liste vom BSI.
Und die ist jetzt sogar 12 Einträge länger als die Liste von vor 4 Tagen...
Huch?!
Mitglied: LordGurke
LordGurke 12.03.2021 um 18:36:01 Uhr
Goto Top
Nächste Eskalationsstufe: Der Betreff der BSI-Mails hat sich von "Verwundbare Exchange-Server" in "Komprommittierte Exchange-Server" verändert.
Ich wasche meine Hände in Unschuld - alle betroffenen Kunden sind spätestens Montag von uns informiert worden.

bsi-exchange2