143127
Goto Top

ACHTUNG: Ungepatchte Exchange Server aktuell im Visier von Angreifern!

Wer es noch nicht mitbekommen haben sollte:

Exchange-Server Systeme werden gerade vermehrt auf eine Sicherheitslücke mit der sich das System übernehmen lässt, gescannt
https://www.heise.de/security/meldung/Jetzt-patchen-Angreifer-haben-Luec ...

Die abgesicherten Versionen und Patches von Exchange Server listet Microsoft hier auf
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2 ...

Abgesichert gegen die Microsoft Exchange Validation Key Remote Code Execution Vulnerability sind aktuell die folgenden CUs und Rollups

  • Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30
  • Microsoft Exchange Server 2013 Cumulative Update 23
  • Microsoft Exchange Server 2016 Cumulative Update 14
  • Microsoft Exchange Server 2016 Cumulative Update 15
  • Microsoft Exchange Server 2019 Cumulative Update 3
  • Microsoft Exchange Server 2019 Cumulative Update 4

Content-Key: 552233

Url: https://administrator.de/contentid/552233

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 28.02.2020 um 00:55:02 Uhr
Goto Top
Moin,

das gilt doch generell. Zu jedem IT-System gehört eine solide Wartung und Service. Leider verpennen das einige Betreiber/IT-Dienstleister.

Grüße,

Christian
certifiedit.net
Mitglied: NetzwerkDude
NetzwerkDude 28.02.2020 aktualisiert um 10:36:55 Uhr
Goto Top
Richtig, nur das ich mein Qmail seit ~ 2000 nicht mehr gepatcht habe und Exchange bei jedem Release neue Remote Code Executions einführt und ein paar alte schließt :D

EDIT: Aber ja, ich schnarche auch gerade bei einem Exchange Update herum
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 29.02.2020 aktualisiert um 10:09:45 Uhr
Goto Top
Ich vermisse immer, dass bei solchen Meldungen auch mal genauer beschrieben wird, wann das gefährlich wird.

Oh Gott, ich hab meinen ### Server nicht gepatcht. Jetzt bin ich angreifbar.

Nein, meiner Meinung nach. Meiner steht hinter einer Firewall mit transparentem Proxy und

https://www.borncity.com/blog/2020/02/28/achtung-angriffe-auf-ungepatcht ...

liefert für mich wichtige Infos:

Die Kenntnis eines Validierungsschlüssels ermöglicht es einem authentifizierten Benutzer mit einem Postfach, beliebige Objekte zu übergeben, die von der Webanwendung, die als SYSTEM läuft, deserialisiert werden sollen.


Und noch qualitativ bessere Infos:
https://www.thezdi.com/blog/2020/2/24/cve-2020-0688-remote-code-executio ...

Microsoft selbst beschreibt die Lücke als wichtig, aber nicht als kritisch. Meiner Meinung nach aus gutem Grund.
Wenn der EX nackig zum Internet steht, so dass nur die Benutzerauthentifizierung die alleinige Barriere ist, dann würde mir auch der Schweiß ausbrechen.

Ich gehe davon aus, dass so mancher auch wegen CoViD-19 bereits Hamsterkäufe gemacht hat.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 29.02.2020 um 10:10:03 Uhr
Goto Top
Vorsorge ist nicht immer schlecht und was glaubst du wie viele Exchange einfach hinter einer Fritzbox hängen..weil, cool und so. Daneben ist es ja auch so, dass Reverse Proxy mehr know how benötigen, könnte wetten, dass viele einfach nur genattet werden...zweites Problem usw usf
Mitglied: 143127
143127 29.02.2020 aktualisiert um 10:19:07 Uhr
Goto Top
ermöglicht es einem authentifizierten Benutzer mit einem Postfach
Viele vergessen dabei aber das Angriffe heute vielfach auch von innen kommen. Es braucht sich ja nur ein User mit entsprechendem Payload innerhalb (oder auch außerhalb via Notebook etc. pp) des Netzwerks infizieren und schon hast du den Salat.
Ein genervter Mitarbeiter der seinem Frust irgendwie freien Lauf lassen möchte ist da noch nicht mal mit gezählt.
Mitglied: NetzwerkDude
NetzwerkDude 29.02.2020 um 10:18:49 Uhr
Goto Top
Öhm, also jeder beliebiger Benutzer kann beliebigen Code ausführen - voll safe und so
Mitglied: falscher-sperrstatus
falscher-sperrstatus 29.02.2020 um 10:48:23 Uhr
Goto Top
Ist leider schon immer so. Nur werden die Angriffsmethoden eben immer passender und immer mehr "interne" kennen sich eben ein wenig besser mit der IT aus.

Grundsätzlich baut man deswegen aber DMZ auf.