lordgurke
Goto Top

Vier 0-Day Exploits in Exchange geschlossen

Microsoft teilt mit:
Sie haben vier 0-Day-Exploits in Exchange geschlossen, die sich in Kombination ausnutzen lassen, um schlechtestenfalls beliebigen Code in der Identität "SYSTEM" auszuführen oder wenigstens, um eigene Dateien (Scripte) auf das System hochzuladen.
Für letzteres braucht es wohl nichtmal gültige Zugangsdaten, daher hat dieser Exploit auch einen Score von 9,1/10.

Details im Blog von Microsoft:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exc ...

Content-Key: 657824

Url: https://administrator.de/contentid/657824

Printed on: June 24, 2024 at 11:06 o'clock

Member: NetzwerkDude
NetzwerkDude Mar 03, 2021 updated at 12:58:57 (UTC)
Goto Top
Ah, hatten wir lange nicht mehr so einen schönen RCE face-smile

Wer schauen will ob sein Server anfällig ist, es gibt ein schönes NSE Script für nmap:
https://github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange.nse

einfach in /usr/share/nmap/scripts kopieren und dann mit
nmap <deine-domain> -p 443 --script http-vuln-exchange 
ausführen

Im Link von LordGurke gibts auch mehrere Powershell/cmd skripte um IOCs zu entdecken falls man schon ge-ownd wurde face-smile

MFG
N-Dude
Member: LordGurke
LordGurke Mar 05, 2021 at 23:30:45 (UTC)
Goto Top
Ein Nachtrag dazu, den ich ungeprüft von Chris Krebs (ehemaliger Chef des US-CISA) übernehme:

This is the real deal. If your organization runs an OWA server exposed to the internet, assume compromise between 02/26-03/03.
Check for 8 character aspx files in C:\\inetpub\wwwroot\aspnet_client\system_web\. If you get a hit on that search, you’re now in incident response mode.
Member: NetzwerkDude
NetzwerkDude Mar 06, 2021 at 07:23:37 (UTC)
Goto Top
Falls jemand nicht patchen kann, hier ein paar Migitationvorschläge von MS: https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vul ...
Member: Dani
Dani Mar 07, 2021 at 20:46:03 (UTC)
Goto Top
Moin,
Microsoft stellt ein PowerShell Skript zur Überprüfung bereit: CSS-Exchange


Gruß,
Dani
Member: JoeDevlin
JoeDevlin Mar 07, 2021 at 20:59:27 (UTC)
Goto Top
Guten Abend,

wir haben den Patch am Mittwoch auf unseren Exchange 2016 CU 18 eingespielt, das Powershell Script hat heute nichts gefunden außer ein paar verdächtige Archive (VMware Tools und McAfee).

Wir haben ausschließlich ActiveSync über einen Reverse-Proxy nach außen freigegeben, ist diese Konstellation überhaupt von der Lücke betroffen?
Member: Dani
Dani Mar 07, 2021 at 21:16:30 (UTC)
Goto Top
Moin,
bitte für Fragen nicht einfach den Informationsbeitrag "kapern".
Am besten eine neue Frage mit deinen Rahmenbedingungen erstellen.


Gruß,
Dani
Member: LordGurke
LordGurke Mar 08, 2021 at 10:31:55 (UTC)
Goto Top
Uuuuund es geht los!
Allerdings sind diese nett gemeinten Benachrichtungen an Provider zwar nett, aber auch sinnlos, wenn sie den 03. März als Datenbasis angeben...

screenshot_20210308-112443__01
Member: LordGurke
LordGurke Mar 08, 2021 at 17:59:06 (UTC)
Goto Top
Oh, das CERT-BUND hat eine E-Mail nachgelegt.
Heute Morgen gegen 03:00 Uhr haben sie in unserem AS noch immer 41 ungepatchte Exchange-Server gefunden...
Sportlich!
Member: Dani
Dani Mar 08, 2021 updated at 19:04:24 (UTC)
Goto Top
Moin,
Heute Morgen gegen 03:00 Uhr haben sie in unserem AS noch immer 41 ungepatchte Exchange-Server gefunden...
Sportlich!
Was glaubst du wie viele Kunden bzw. IT Admins heute Morgen überrascht worden sind?!
Abgesehen davon wie viele überhaupt keine IT News lesen.


Gruß,
Dani
Member: LordGurke
LordGurke Mar 12, 2021 at 10:40:39 (UTC)
Goto Top
Neue Liste vom BSI.
Und die ist jetzt sogar 12 Einträge länger als die Liste von vor 4 Tagen...
Huch?!
Member: LordGurke
LordGurke Mar 12, 2021 at 17:36:01 (UTC)
Goto Top
Nächste Eskalationsstufe: Der Betreff der BSI-Mails hat sich von "Verwundbare Exchange-Server" in "Komprommittierte Exchange-Server" verändert.
Ich wasche meine Hände in Unschuld - alle betroffenen Kunden sind spätestens Montag von uns informiert worden.

bsi-exchange2