Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?

[English]Ok, ich glaube, ich habe mit der Headline eure Aufmerksamkeit. Möglicherweise kommen nächsten Dienstag mal wieder Updates für Exchange Server. Warum? Weil auf der Hackerkonferenz Pwd2Own (6.-8.4-2021) gleich drei Exchange Exploits vorgestellt wurden. Möglicherweise wäre es eine gute Idee, über das Wochenende sicherzustellen, dass die Exchange Server auf dem aktuellen Patchstand sind, um im Fall der Fälle zeitnah mit Updates loslegen zu können.


Anzeige

Frank Carius hat mich heute dankenswerterweise per E-Mail kontaktiert und auf seine Zusammenfassung hier hingewiesen. Frank ist ja im Exchange-Umfeld aktiv und hat das Thema Sicherheit im Blick. Daher sind ihm entsprechende Meldungen natürlich sofort ins Auge gesprungen. Ergänzung: Im Buschfunk habe ich vernommen, dass Abonnenten irgend eines E(xx)-Plans von Microsoft bereits letzten Donnerstag vorab Informationen zum Patchday bekommen haben. Es soll was zu Exchange drin stehen, was man lesen solle, höre ich (steht aber wohl alles unter NDA).

Exchange Exploits auf Zero Day Initiative

Auf der Webseite der Zero Day Initiative (ZDI) werden die Hacks im Rahmen des Pwn2Own 2021 vorgestellt. Und da springen einem sofort einige Fundstellen ins Auge, wenn man nach Exchange sucht:

DEVCORE targeting Microsoft Exchange in the Server category

SUCCESS – The DEVCORE team combined an authentication bypass and a local privilege escalation to complete take over the Exchange server. They earn $200,000 and 20 Master of Pwn points.

Offenbar ist es dem DEVCORE-Team gelungen, eine Authentifizierungs-Bypass-Schwachstelle samt local privilege escalation auszunutzen und 200.000 US-Dollar an Prämie zu kassieren. Die Höhe der Prämie sowie die Schlüsselwörter zur Sicherheitslücke lassen aufhorchen – da erinnert einiges an den HAFNIUM-Fall von Anfang März 2020 – und DEVCORE war an der Entdeckung dieser Schwachstelle beteiligt (siehe Anatomie des ProxyLogon Hafinum-Exchange Server Hacks). Bei der nachfolgend gemeldeten zweiten Schwachstelle war das Team VETTEL nur teilweise erfolgreich.

Team Viettel targeting Microsoft Exchange in the Server category

PARTIAL – Team Viettel successfully demonstrated their code execution on the Exchange server, but some of the bugs they used in their exploit chain had been previously reported in the contest. This counts as a partial win but does get them 7.5 Master of Pwn points.

Hier lese ich heraus, dass die bekannte Schwachstellen aus dem Wettbewerb genutzt haben, weshalb es keine Prämie gab. In nachfolgender Meldung hat Steven Seeley wohl teilweise Erfolg gehabt.

Steven Seeley of Source Incite targeting Microsoft Exchange in the Server category

PARTIAL – Although Steven did use two unique bugs in his demonstration, this attempt was a partial win due to the Man-in-the-Middle aspect of the exploit. It's still great research though, and he earns 7.5 Master of Pwn points.

Von Microsoft ist in der Sache nichts zu vernehmen, aber der erste DEVCORE-Angriff würde mich als Exchange-Administrator schon hibbelig machen. Frank Carius hat sich die Mühe gemacht, die teilweise verlinkten YouTube-Videos anzusehen und verweist auf dieses Video. Dort gibt es den Hinweis auf den "Patch Tuesday", bei dem Exchange Updates mit Credits zu Steven Seeley erscheinen sollten. Zählt man 1+1 zusammen, ist es nicht gänzlich unwahrscheinlich, dass am 13.4.2021 entsprechende Updates für Exchange 2013 bis 2019 bereitgestellt werden könnten.

Bringt den Patch-Stand auf Vordermann!

Frank weist in diesem Zusammenhang auf folgendes hin: In vielen Firmen laufen Exchange Server noch auf alten Patchständen. Beim März 2021-Vorfall war es ja so, dass die Administratoren kalt erwischt wurden und keine außerplanmäßigen Updates für ältere Exchange CUs bereitstanden. Erst als die Massenhacks durch Hafnium allzu deutlich wurden, tröpfelten von Microsoft auch Sonderupdates für ältere CUs ein.

Da CUs im 3-Monats-Abstand veröffentlicht werden, und vielleicht nur ein Sicherheitsupdate für das aktuelle CU freigegeben wird, wären alle Exchange Server mit älteren Patch-Ständen außen vor. Wenn dann eine Schwachstelle mit Hafnium-Potential samt Exploit öffentlich wird, bleibt Exchange Administratoren eventuell wenig Zeit zum Patchen – und es "brennt wieder die Hütte". Noch habt ihr ein Wochenende Zeit, da abzuklären, wie es ausschaut. Falls ich eure Aufmerksamkeit geweckt haben sollte, bei Frank Carius finden sich noch einige detailliertere Einschätzungen zum Thema.

Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren
Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben
Sicherheitsupdate für Exchange Server 2013 Service Pack 1 – Neue CUs für Exchange 2019 und 2016 (16.3.2021)
Microsoft Defender schließt automatisch CVE-2021-26855 auf Exchange Server
Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)
Neues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Antworten zu Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?

  1. IT-Knecht sagt:

    Wenn man bedenkt wie lange Microsoft von der Hafnium Lücke wusste, würde ich mit Patches nicht vor Oktober rechnen :/

  2. Gert sagt:

    Nunja wer aus dem Drama im März nichts gelernt hat… verdient es nicht anders und muss so richtig auf die fresse fallen

  3. 1ST1 sagt:

    Auf der Veranstaltungen wurden auch vier mal Local Privilege Escalations per 0Day-Exploit auf vollständig gepatchte Windows 10 Systeme gezeigt, nur einer der Bugs war MS schon bekannt und ich gehe mal davon aus, dass der kommenden Dienstag gepatcht wird. Bleiben aber noch drei übrig.

    Beruhigenderweise gelang es aber auch drei Leuten ein gewisses immer wegen seiner offenen Architektur und offenem Quellcode gehyptes Betriebssystem auch hin zu Root-Rechten zu knacken. Wegen dem von jedermann einsehbaren, lesbaren, überprüften und verstandenen Quellcodes und der damit verbundenen 101 prozentigen Sicherheit eigentlich völlig unmöglich. Ist bestimmt nur geträumt.

    • Zocker sagt:

      "Beruhigenderweise gelang es aber auch drei Leuten ein gewisses immer wegen seiner offenen Architektur und offenem Quellcode gehyptes Betriebssystem auch hin zu Root-Rechten zu knacken."

      Ja, zum Glück gibt es keine 100%ige Sicherheit. Das wäre für den Verbraucher auch zum Nachteil…
      Immer schön, wenn man das Versagen des eigenen Fanboyherstellers rechtfertigen kann.

      "Wegen dem von jedermann einsehbaren, lesbaren, überprüften und verstandenen Quellcodes und der damit verbundenen 101 prozentigen Sicherheit eigentlich völlig unmöglich. Ist bestimmt nur geträumt."

      Dafür ist der nicht einsehbare, lesbare, überprüfte und verstandene Quellcode einer gewissen gehypten Konkurrenz bombensicher und man hat nichts zu befürchten…

      • Knusper sagt:

        "des eigenen Fanboyherstellers"

        Ist mir eigentlich egal, doch genau diese Kommentare verleiden einem den ganzen Block.

        • Stefan A. sagt:

          Ich dachte solche Kommentare gibt es nur bei heise :)
          Wo die Linux Leute über die Windows Leute herziehen und umgekehrt

          Bitte liebe Kollegen und Admins, fangt hier nicht auch mit einem solchen Niveau an…
          Wobei ich immer denke, dass solche Kommentare gar nicht von langjährigen IT Kollegen kommen…

        • Günter Born sagt:

          Ich sage mal so: "der große Könner liest über so etwas hinweg". Damit sollte das Thema Fanboy hier für Exchange abgefrühstückt sein.

          Die Info über anfliegende Patches ist, denke ich, bei der Zielgruppe angekommen. Damit hat der Blog-Beitrag seinen Zweck erfüllt.

          Schönes Wochenende – und danke für euer Verständnis.

  4. Stefan A. sagt:

    Wenn Microsoft nicht plötzlich was an ihrer Strategie geändert hat, müsste es die Updates für Exchange 2016 ja dann für CU19 und CU20 geben.

    Oder hat jemand andere Informationen?

    Gruß
    Stefan

    • Günter Born sagt:

      Ich gehe davon aus, dass Du Recht hast. Meine unpräzisen Formulierungen sind dem Umstand geschuldet, dass ich nichts mit Exchange zu tun habe und jeweils genau nachschauen müsste, welche beiden CUs bei welcher Exchange-Version gerade aktuell sind. Tut aber der Botschaft des obigen Beitrags keinen Abbruch – und wenn es Dienstag soweit ist, werden die Details sicherlich bei Microsoft bekannt gegeben werden.

  5. Robert Richter sagt:

    "combined an authentication bypass and a local privilege escalation"
    liegt die Betonung wohl auf 'local'? geht das dann überhaupt per remote?

    • Olli sagt:

      >>> geht das dann überhaupt per remote?

      JA! Bedeutet nichts anderes als das man es schafft auf dem angegriffenen System "lokal" höhere Rechte zu erlangen.

  6. Sven Fischer sagt:

    Alles schlimm, das MS das nicht auf die Reihe bekommt. Wenn man bedenkt, das Exchange in vielen Firmen als das Herzstück für die gesamte Kommunikation ist und ein Ausfall/Kompromittierung den ganzen Betrieb still legt.
    Bei dem ganzen Szenario kann man auch mal über Alternativen nachdenken. Bsp. Univention + Kopano.

  7. Jörg sagt:

    Hallo, die Security-Updates April 2021 für Exchange 2013 bis Exchange 2019 sind da:

    Exchange 2019 CU8,CU9
    Exchange 2016 CU19,CU20
    Exchange 2013 CU23

    KB5001779

    Version im OWA: 15.1.2242
    Version in der Shell: 15.01.2242.008

    Getestet auf einem Exchange 2016 CU20 – Serverneustart wurde angefordert und ausgeführt. Bei ersten Tests alles OK (Outlook, OWA, ECP, Admin-Center, Dienste wurden alle wieder gestartet).

    Grüße,

    Jörg

  8. Chris sagt:

    Hallo, soeben das Exchange 2013 CU23 KB5001779 eingespielt. Bisher auch keine Probleme vernommen.

    Grüße, Chris

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.