[English]Ok, ich glaube, ich habe mit der Headline eure Aufmerksamkeit. Möglicherweise kommen nächsten Dienstag mal wieder Updates für Exchange Server. Warum? Weil auf der Hackerkonferenz Pwd2Own (6.-8.4-2021) gleich drei Exchange Exploits vorgestellt wurden. Möglicherweise wäre es eine gute Idee, über das Wochenende sicherzustellen, dass die Exchange Server auf dem aktuellen Patchstand sind, um im Fall der Fälle zeitnah mit Updates loslegen zu können.
Anzeige
Frank Carius hat mich heute dankenswerterweise per E-Mail kontaktiert und auf seine Zusammenfassung hier hingewiesen. Frank ist ja im Exchange-Umfeld aktiv und hat das Thema Sicherheit im Blick. Daher sind ihm entsprechende Meldungen natürlich sofort ins Auge gesprungen. Ergänzung: Im Buschfunk habe ich vernommen, dass Abonnenten irgend eines E(xx)-Plans von Microsoft bereits letzten Donnerstag vorab Informationen zum Patchday bekommen haben. Es soll was zu Exchange drin stehen, was man lesen solle, höre ich (steht aber wohl alles unter NDA).
Exchange Exploits auf Zero Day Initiative
Auf der Webseite der Zero Day Initiative (ZDI) werden die Hacks im Rahmen des Pwn2Own 2021 vorgestellt. Und da springen einem sofort einige Fundstellen ins Auge, wenn man nach Exchange sucht:
DEVCORE targeting Microsoft Exchange in the Server category
SUCCESS – The DEVCORE team combined an authentication bypass and a local privilege escalation to complete take over the Exchange server. They earn $200,000 and 20 Master of Pwn points.
Offenbar ist es dem DEVCORE-Team gelungen, eine Authentifizierungs-Bypass-Schwachstelle samt local privilege escalation auszunutzen und 200.000 US-Dollar an Prämie zu kassieren. Die Höhe der Prämie sowie die Schlüsselwörter zur Sicherheitslücke lassen aufhorchen – da erinnert einiges an den HAFNIUM-Fall von Anfang März 2020 – und DEVCORE war an der Entdeckung dieser Schwachstelle beteiligt (siehe Anatomie des ProxyLogon Hafinum-Exchange Server Hacks). Bei der nachfolgend gemeldeten zweiten Schwachstelle war das Team VETTEL nur teilweise erfolgreich.
Team Viettel targeting Microsoft Exchange in the Server category
PARTIAL – Team Viettel successfully demonstrated their code execution on the Exchange server, but some of the bugs they used in their exploit chain had been previously reported in the contest. This counts as a partial win but does get them 7.5 Master of Pwn points.
Hier lese ich heraus, dass die bekannte Schwachstellen aus dem Wettbewerb genutzt haben, weshalb es keine Prämie gab. In nachfolgender Meldung hat Steven Seeley wohl teilweise Erfolg gehabt.
Anzeige
Steven Seeley of Source Incite targeting Microsoft Exchange in the Server category
PARTIAL – Although Steven did use two unique bugs in his demonstration, this attempt was a partial win due to the Man-in-the-Middle aspect of the exploit. It's still great research though, and he earns 7.5 Master of Pwn points.
Von Microsoft ist in der Sache nichts zu vernehmen, aber der erste DEVCORE-Angriff würde mich als Exchange-Administrator schon hibbelig machen. Frank Carius hat sich die Mühe gemacht, die teilweise verlinkten YouTube-Videos anzusehen und verweist auf dieses Video. Dort gibt es den Hinweis auf den "Patch Tuesday", bei dem Exchange Updates mit Credits zu Steven Seeley erscheinen sollten. Zählt man 1+1 zusammen, ist es nicht gänzlich unwahrscheinlich, dass am 13.4.2021 entsprechende Updates für Exchange 2013 bis 2019 bereitgestellt werden könnten.
Bringt den Patch-Stand auf Vordermann!
Frank weist in diesem Zusammenhang auf folgendes hin: In vielen Firmen laufen Exchange Server noch auf alten Patchständen. Beim März 2021-Vorfall war es ja so, dass die Administratoren kalt erwischt wurden und keine außerplanmäßigen Updates für ältere Exchange CUs bereitstanden. Erst als die Massenhacks durch Hafnium allzu deutlich wurden, tröpfelten von Microsoft auch Sonderupdates für ältere CUs ein.
Da CUs im 3-Monats-Abstand veröffentlicht werden, und vielleicht nur ein Sicherheitsupdate für das aktuelle CU freigegeben wird, wären alle Exchange Server mit älteren Patch-Ständen außen vor. Wenn dann eine Schwachstelle mit Hafnium-Potential samt Exploit öffentlich wird, bleibt Exchange Administratoren eventuell wenig Zeit zum Patchen – und es "brennt wieder die Hütte". Noch habt ihr ein Wochenende Zeit, da abzuklären, wie es ausschaut. Falls ich eure Aufmerksamkeit geweckt haben sollte, bei Frank Carius finden sich noch einige detailliertere Einschätzungen zum Thema.
Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren
Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben
Sicherheitsupdate für Exchange Server 2013 Service Pack 1 – Neue CUs für Exchange 2019 und 2016 (16.3.2021)
Microsoft Defender schließt automatisch CVE-2021-26855 auf Exchange Server
Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)
Neues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)
Anzeige
Wenn man bedenkt wie lange Microsoft von der Hafnium Lücke wusste, würde ich mit Patches nicht vor Oktober rechnen :/
Nunja wer aus dem Drama im März nichts gelernt hat… verdient es nicht anders und muss so richtig auf die fresse fallen
Binsenweisheit bis die eigenen Daten betroffen sind, weil eine Firma bei der man Kunde ist es verkackt.
Auf der Veranstaltungen wurden auch vier mal Local Privilege Escalations per 0Day-Exploit auf vollständig gepatchte Windows 10 Systeme gezeigt, nur einer der Bugs war MS schon bekannt und ich gehe mal davon aus, dass der kommenden Dienstag gepatcht wird. Bleiben aber noch drei übrig.
Beruhigenderweise gelang es aber auch drei Leuten ein gewisses immer wegen seiner offenen Architektur und offenem Quellcode gehyptes Betriebssystem auch hin zu Root-Rechten zu knacken. Wegen dem von jedermann einsehbaren, lesbaren, überprüften und verstandenen Quellcodes und der damit verbundenen 101 prozentigen Sicherheit eigentlich völlig unmöglich. Ist bestimmt nur geträumt.
"Beruhigenderweise gelang es aber auch drei Leuten ein gewisses immer wegen seiner offenen Architektur und offenem Quellcode gehyptes Betriebssystem auch hin zu Root-Rechten zu knacken."
Ja, zum Glück gibt es keine 100%ige Sicherheit. Das wäre für den Verbraucher auch zum Nachteil…
Immer schön, wenn man das Versagen des eigenen Fanboyherstellers rechtfertigen kann.
"Wegen dem von jedermann einsehbaren, lesbaren, überprüften und verstandenen Quellcodes und der damit verbundenen 101 prozentigen Sicherheit eigentlich völlig unmöglich. Ist bestimmt nur geträumt."
Dafür ist der nicht einsehbare, lesbare, überprüfte und verstandene Quellcode einer gewissen gehypten Konkurrenz bombensicher und man hat nichts zu befürchten…
"des eigenen Fanboyherstellers"
Ist mir eigentlich egal, doch genau diese Kommentare verleiden einem den ganzen Block.
Ich dachte solche Kommentare gibt es nur bei heise :)
Wo die Linux Leute über die Windows Leute herziehen und umgekehrt
Bitte liebe Kollegen und Admins, fangt hier nicht auch mit einem solchen Niveau an…
Wobei ich immer denke, dass solche Kommentare gar nicht von langjährigen IT Kollegen kommen…
Ich sage mal so: "der große Könner liest über so etwas hinweg". Damit sollte das Thema Fanboy hier für Exchange abgefrühstückt sein.
Die Info über anfliegende Patches ist, denke ich, bei der Zielgruppe angekommen. Damit hat der Blog-Beitrag seinen Zweck erfüllt.
Schönes Wochenende – und danke für euer Verständnis.
Wenn Microsoft nicht plötzlich was an ihrer Strategie geändert hat, müsste es die Updates für Exchange 2016 ja dann für CU19 und CU20 geben.
Oder hat jemand andere Informationen?
Gruß
Stefan
Ich gehe davon aus, dass Du Recht hast. Meine unpräzisen Formulierungen sind dem Umstand geschuldet, dass ich nichts mit Exchange zu tun habe und jeweils genau nachschauen müsste, welche beiden CUs bei welcher Exchange-Version gerade aktuell sind. Tut aber der Botschaft des obigen Beitrags keinen Abbruch – und wenn es Dienstag soweit ist, werden die Details sicherlich bei Microsoft bekannt gegeben werden.
"combined an authentication bypass and a local privilege escalation"
liegt die Betonung wohl auf 'local'? geht das dann überhaupt per remote?
>>> geht das dann überhaupt per remote?
JA! Bedeutet nichts anderes als das man es schafft auf dem angegriffenen System "lokal" höhere Rechte zu erlangen.
Alles schlimm, das MS das nicht auf die Reihe bekommt. Wenn man bedenkt, das Exchange in vielen Firmen als das Herzstück für die gesamte Kommunikation ist und ein Ausfall/Kompromittierung den ganzen Betrieb still legt.
Bei dem ganzen Szenario kann man auch mal über Alternativen nachdenken. Bsp. Univention + Kopano.
Hallo, die Security-Updates April 2021 für Exchange 2013 bis Exchange 2019 sind da:
Exchange 2019 CU8,CU9
Exchange 2016 CU19,CU20
Exchange 2013 CU23
KB5001779
Version im OWA: 15.1.2242
Version in der Shell: 15.01.2242.008
Getestet auf einem Exchange 2016 CU20 – Serverneustart wurde angefordert und ausgeführt. Bei ersten Tests alles OK (Outlook, OWA, ECP, Admin-Center, Dienste wurden alle wieder gestartet).
Grüße,
Jörg
Hab es schon gesehen, danke. Werde gegen Mitternacht was schreiben. Ergänzung: Läuft nicht bei allen smooth durch.
Exchange Server Security Update KB5001779 (13. April 2021)
Danke!
Hallo, soeben das Exchange 2013 CU23 KB5001779 eingespielt. Bisher auch keine Probleme vernommen.
Grüße, Chris