Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!

[English]Microsoft warnt: Es werden vier 0-day-Schwachstellen für gezielte Angriffe auf Exchange per Outlook Web App kombiniert. Administratoren von On-PremisesMicrosoft Exchange-Servern sollten dringen reagieren und die zum 2. März 2021 freigegebenen Updates installieren. Auch für Exchange Server 2010 gibt es noch ein Sicherheitsupdate.


Anzeige

Kurzwarnung durch Microsoft

Microsoft hat mir vor wenigen Stunden eine Warnung per E-Mail zukommen lassen, die Revisionen von Sicherheitsbeschreibungen, aber auch Beschreibung der Microsoft Exchange Server Remote Code Execution Schwachstellen thematisiert. Hier die Offenlegung der Schwachstellen.

*******************************************************************************
Title: Microsoft Security Update Releases
Issued: March 2, 2021
*******************************************************************************

Summary
=======

The following CVEs have undergone a major revision increment:

Critical CVEs
============================

* CVE-2021-26412 – https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26412
* CVE-2021-26855 – https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
* CVE-2021-27065 – https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
* CVE-2021-26857 – https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

Important CVEs
============================

* CVE-2021-27078 – https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27078
* CVE-2021-26854 – https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26854
* CVE-2021-26858 – https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858


Anzeige

Publication information
===========================

– Microsoft Exchange Server Remote Code Execution Vulnerability
– See preceding list for links
– Version 1.0
– Reason for Revision: Information published
– Originally posted: March 2, 2021
– Updated: N/A

Gleichzeitig bin ich über diverse Warnungen auf Twitter auf das Thema aufmerksam geworden. So weist GossiTheDog in folgendem Tweet darauf hin, dass die vier Schwachstellen ausgenutzt werden.

Warnung vor Exchange-Server-Schwachstellen

Details zum Angriff

Microsoft hat diesen Beitrag zum Thema veröffentlicht. Die Sicherheitsexperten haben eine Angriffskampagne bemerkt, die mehrere 0-Day-Exploits (siehe obige Links) für Angriffe auf lokale Versionen von Microsoft Exchange Server in begrenzten und gezielten Angriffen verwendet.

  • CVE-2021-26855 ist eine SSRF-Schwachstelle (Server-Side Request Forgery) in Exchange, die es dem Angreifer ermöglicht, beliebige HTTP-Anfragen zu senden und sich als Exchange-Server zu authentifizieren.
  • CVE-2021-26857 ist eine Deserialisierungsschwachstelle im Unified Messaging-Dienst. Eine unsichere Deserialisierung liegt vor, wenn nicht vertrauenswürdige, vom Benutzer kontrollierbare Daten von einem Programm deserialisiert werden. Durch das Ausnutzen dieser Schwachstelle konnte HAFNIUM Code als SYSTEM auf dem Exchange-Server ausführen. Dies erfordert Administratorrechte oder eine andere Schwachstelle, die ausgenutzt werden kann.
  • CVE-2021-26858 ist eine Sicherheitsanfälligkeit in Exchange, bei der nach der Authentifizierung beliebige Dateien geschrieben werden können. Wenn HAFNIUM sich beim Exchange-Server authentifizieren könnte, könnte er diese Sicherheitsanfälligkeit nutzen, um eine Datei in einen beliebigen Pfad auf dem Server zu schreiben. Sie könnten sich authentifizieren, indem sie die SSRF-Schwachstelle CVE-2021-26855 ausnutzen oder die Anmeldedaten eines legitimen Administrators ausspionieren.
  • CVE-2021-27065 ist eine Schwachstelle für das Schreiben beliebiger Dateien nach der Authentifizierung in Exchange. Wenn HAFNIUM sich beim Exchange-Server authentifizieren konnte, konnte es diese Schwachstelle nutzen, um eine Datei in einen beliebigen Pfad auf dem Server zu schreiben. Sie könnten sich authentifizieren, indem sie die SSRF-Schwachstelle CVE-2021-26855 ausnutzen oder die Anmeldedaten eines legitimen Administrators ausspionieren.

Details des Angriffs sind im Microsoft-Beitrag beschrieben. Dort wird auch beschrieben, wie man erkennen kann, ob der Exchange-Server möglicherweise kompromittiert wurde.

Bei den beobachteten Angriffen nutzte der Bedrohungsakteur diese Schwachstellen, um auf lokale Exchange-Server zuzugreifen. Dies ermöglichte den Zugriff auf E-Mail-Konten und die Installation zusätzlicher Malware, um den langfristigen Zugriff auf die Umgebungen der Opfer zu erleichtern. Das Microsoft Threat Intelligence Center (MSTIC) führt diese Kampagne mit hoher Wahrscheinlichkeit auf die HAFNIUM-Gruppe zurück. Microsoft geht aufgrund der beobachteten Viktimologie, Taktik und Vorgehensweise davon aus, dass es eine staatlich gesponsert und von China aus operierend Gruppe ist.

Schwachstellen per Update KB5000871 adressiert

Die Schwachstellen, die kürzlich ausgenutzt wurden, waren CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065, die alle in der heutigen Microsoft Security Response Center (MSRC) Veröffentlichung – Multiple Security Updates Released for Exchange Server – adressiert wurden. Die Sicherheitslücken betreffen Microsoft Exchange Server, nicht jedoch Exchange Online. Microsoft gibt folgende Versionen als betroffen an.

  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Alle drei Versionen befinden sich noch im regulären Support. Microsoft hat den Supportbeitrag KB5000871 – Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: March 2, 2021 (KB5000871) – veröffentlicht. Dort finden sich auch Hinweise auf bekannte Probleme mit diesem Update, welches per Windows Update ausgerollt wird. Diese Updates stehen aber auch im Microsoft Update Catalog zum Download bereit. Zudem werden die Updates im KB-Artikel zum Download angeboten. Redmond rät seinen Kunden dringend, ihre lokalen Systeme sofort zu aktualisieren.

Microsoft schreibt, dass der Exchange Server 2010 für Defense in Depth Zwecke aber ebenfalls aktualisiert wird. Das Exchange-Team hat zudem diesen Techcommunity-Beitrag zum Thema veröffentlicht, wo auch das Update für Exchange Server 2010 – Exchange Server 2010 (RU 31 for Service Pack 3 – this is a Defense in Depth update) – zu finden ist. Der Beitrag enthält auch eine FAQ zu diversen Aspekten.

Sicherheitsforscher Kevin Beaumont (GossiTheDog) weist auf Twitter auf ein Script zum Scannen der Exchange Server-Installationen auf Schwachstellen hin, welches er auf GitHub bereitstellt. Brian Krebs hat noch einige Informationen in diesem Blog-Beitrag zusammen getragen. Die Angriffe wurden erst am 6. Januar 2021 durch die Sicherheitsfirma Veloxi entdeckt, was inzwischen in diesem Blog-Beitrag offen gelegt wurde.

Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, Update, Windows Server abgelegt und mit Exchange, Sicherheit, Update verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Antworten zu Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!

  1. HD sagt:

    Moin, auf EX 2016 CU18, keine Probleme nach der Installation.

  2. 1ST1 sagt:

    Hier ist ein weiterer Artikel, den man sich ansehen sollte, da gibts unter anderem IP-Adressen der für den Angriff benutzten virtuellen Server. https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/

  3. MOM20xx sagt:

    sofern der exchange server nicht direkt aus dem internet erreichbar war, müsste man sich ja erstmal keine sorgen machen. da wäre es dann ja praktisch nur über einen rückkanal möglich, sprich man bringt einen internen user dazu irgendwas aufzurufen, dass dann den server attackiert und dementsprechend einen channel dann zum angreifer aufbaut.

    interessant auch, dass hier jetzt plötzlich ein patch für vieles kommt, der patch aber gemäss seinem kb artikel file timestamps vom 12.02.2021 hat. also da ist dann ja schon länger was im argen

    • 1ST1 sagt:

      Gefunden wurden die Lücken/Angriffe schon am 6. Januar. Microsoft wird wohl 3 Woichen gebraucht haben, um die Wirksamkeit der Patches zu prüfen, und ob das Nebenwirkungen hat.

  4. Thomas Müller sagt:

    Hallo in die Runde,

    für mich stellt sich die Frage, ob die Probleme schon bei CU17 und kleiner (EX2016) aufgetreten sind oder ob die Probleme nur bei CU 18 und CU19 auftreten? Geht Microsoft, dass man immer die neuesten CUs installiert hat?

    Ich freue mich über eine kurze Rückmeldung.

    Vielen Dank.

    Thomas Müller

    • Thomas Kofler sagt:

      Hallo,

      Microsoft unterstützt bei Exchange 2016 nur Systeme mit aktulelm CU und aktuellem CU-1, sprich CU17 wird nicht mehr unterstützt und wird den Patch auch nicht bekommen.
      Laut Ihrem Webcast testen sie diese Versionen auch nicht mehr auf die Lücke, aber es ist davon auszugehen, dass sie auch existiert.

      Thomas

    • 1ST1 sagt:

      Wenn selbst das nicht mehr supportete Exchange 2010 mit einem Patch bedacht wurde, können Sie davon ausgehen, dass auch ältere Builds von 2013 und 2016 betroffen sind.

  5. Paul Rom sagt:

    Microsoft gibt an, dass die Webshells mit Hash-Werten ermittelt werden können:

    Web shell hashes

    b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0
    097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e
    2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1
    65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5
    511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1
    4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea
    811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
    1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944

    Weiß jemand, wie der Hash berechnet wird? Dazu findet sich keine Angabe auf der Homepage (MD5, SHA1). Ohne die Info macht es keinen Sinn sich auf die Suche zu begeben.

    https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

  6. Igor L. sagt:

    Hallo Paul,

    du kannst mit https://www.nirsoft.net/utils/hash_my_files.html alle Hashvarianten berechnen lassen und dann als HTML exportieren um zu vergleichen.
    Das geht auch mit dem gesamten Verzeichnis wo die OWA Dateien liegen.

    Hier noch eine etwas bessere Information wie man ggf. identifizieren kann ob man Infiziert wurde oder nicht:
    https://blog.rapid7.com/2021/03/03/rapid7s-insightidr-enables-detection-and-response-to-microsoft-exchange-0-day/

    Gruß Igor

  7. docolli sagt:

    Aktuell hat MS auch Patches für Exchange Server 2019 CU 6, CU 5, und CU 4 und Exchange Server 2016 CU 16, CU 15, und CU14 rausgebracht!

    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

    Weiß jemand, warum CU 17 keinen Patch bekommen hat? Ist diese CU nicht betroffen, oder ist der Patch noch nicht fertig?

  8. Wodka Gorbatschow sagt:

    https://www.presseportal.de/blaulicht/pm/110980/4924623

    da steht eigentlich alles wesentliche drin. man muss das rad nicht neu erfinden.

    • Günter Born sagt:

      Jau, und nun frage ich mich, was diese Pressemitteilung mit den ungepatchten Exchange-Servern und der konkreten Schwachstelle zu tun hat? Irgendwie komme ich nicht darauf – auch habe ich einen Klemmer, zu erkennen, wie die folgenden Handlungsempfehlungen aus der Mldung weiter helfen:

      Die Polizei rät:
      – Prüfen Sie die "Handlungsempfehlungen Verschlüsselungstrojaner"
      gemeinsam mit IT-Fachkräften Ihrer Organisation.
      – Setzen Sie die organisatorischen und technischen
      Präventionsempfehlungen in Ihrer Einrichtung um.
      – Bereiten Sie sich auf den Ernstfall vor und üben Sie mit Ihren
      Mitarbeiterinnen und Mitarbeitern den Umgang mit dem Ausfall der
      IT und die Wiederherstellung.
      – Zeigen Sie gegen Ihre Institution gerichtete Cyber-Angriffe bei
      der Zentralen Ansprechstelle Cybercrime (ZAC) an.
      – Die ZAC steht als Zentralstelle der Polizei Baden-Württemberg
      allen Unternehmen, Behörden und sonstigen Institutionen,
      unabhängig der wirtschaftlichen Größe, zur Verfügung.

      Vielleicht lässt sich das ja noch aufklären?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.