Exchange-Schwachstellen: Droht Hafnium II?

Sicherheit (Pexels, allgemeine Nutzung)[English]Droht uns bald ein zweites Hafnium-Desaster, bei dem Exchange Server über Schwachstellen angegriffen und übernommen werden? Auf der BlackHat 2021-Konferenz hat Sicherheitsforscher Orange Tsai über Schwachstellen bei Microsoft Exchange referiert und neben alten Sicherheitslücken auch neu Angriffsmöglichkeiten über bekannte und neue Schwachstellen angedeutet. Was bisher gepatcht wurde, sei nur die Spitze eines Eisbergs, deutet er an. Darüber hinaus gibt es jede Menge Exchange Server, die per Internet erreichbar sind, aber auf einem Patchstand März 2021 stehen. Zutaten, die uns möglicherweise das nächste Desaster mit Cyber-Angriffen auf Exchange Server bescheren könnten. Möglicherweise gibt es am 10. August 2021 wieder Exchange Updates.


Anzeige

Vorab: Es ist keine 0day-Schwachstelle in Exchange oder ein öffentlicher Exploit bekannt. Stefan S. hat mich die Nacht aber per privater Nachricht über Facebook auf einen Vortrag von Orange Tsai über Schwachstellen bei Microsoft Exchange auf der BlackHat 2021-Konferenz aufmerksam gemacht. Ich ziehe hier mal die Informationen zusammen, die ich mir gerade zusammen gesucht habe.

Orange Tsai über Exchange-Schwachstellen

DEVCORE ist eine Gruppe von Sicherheitsspezialisten, die in Taiwan angesiedelt sind und vorgeben, Hacker zu verstehen. Der Name DEVCORE wird manchen Lesern etwas sagen, war die Gruppe doch an der Entdeckung der beim Hafnium-Hack ausgenutzten Schwachstellen beteiligt (siehe Anatomie des ProxyLogon Hafinum-Exchange Server Hacks).

Der Sicherheitsforscher Orange Tsai vom DEVCORE-Team hat auf der BlackHat 2021 einen Vortrag über Exchange-Schwachstellen gehalten. Der Vortragstitel lautete ProxyLogon is Just the Tip of the Iceberg und der Name ist Programm. Das Video der Präsentation auf der BlackHat 2021 lässt sich auf YouTube abrufen.

(Quelle: YouTube)

Die im Video präsentierten Vortragsfolien wurden hier online gestellt. Der Sicherheitsforscher hat sich mit dem DEVCORE-Team auf die Exchange-Architektur konzentriert und eine neue Angriffsfläche bei Microsoft Exchange Server gefunden, die bisher noch bedacht wurde. Dabei haben sich die Sicherheitsforscher auf den Client Access Service (CAS) von Exchange fokussiert. Es wurden gleich acht Schwachstellen entdeckt, die serverseitige, clientseitige und Krypto-Schwachstellen beinhalten, die durch folgende Angriffsketten ausgenutzt werden können:

  • ProxyLogon: Die bekannte Pre-Auth-RCE-Angriffskette (Video hier)
  • ProxyOracle: Eine Angriffskette mit Klartext-Passwort-Wiederherstellung
  • ProxyShell: Die Pre-Auth-RCE-Kette, die die Sicherheitsforscher bei Pwn2Own 2021 demonstriert haben (Video hier)

Geht man die Vortragsfolien durch, findet sich ein Hinweis auf eine neue Schwachstelle ohne CVE, entdeckt am 2. Juni 2021 von Orange Tsai, die bisher noch nicht gepatcht wurde. In den Folien skizziert der Sicherheitsforscher, wie die oben genannten Methoden für Angriffe genutzt werden können.

(Quelle: YouTube)

In obigem Video demonstriert Orange Tsai, wie er die bekannten Angriffsmethoden gegenüber Exchange für einen Angriff kombiniert hat. Der Sicherheitsforscher hat nun damit begonnen, eine Reihe von Blog-Beiträgen zu diesen Angriffsflächen zu veröffentlichen. Nachfolgender Tweet weist auf den ersten Beitrag A New Attack Surface on MS Exchange Part 1 – ProxyLogon! zur neuen Angriffsfläche hin.


Anzeige

A New Attack Surface on Microsoft Exchange

Der zweite Beitrag A New Attack Surface on MS Exchange Part 2 – ProxyOracle! ist mittlerweile ebenfalls online, so dass Interessierte durchaus Lesefutter finden.

Exchange-Server: Ungeschützt und angreifbar

Sicherheitsforscher Kevin Beaumont weist in nachfolgendem Tweet darauf hin, dass ein Angreifer Zugriffe auf /autodiscover/autodiscover.json versucht.

Attack on Exchange honeypot

Anschließend schreibt der IIS (Internet Information Server) Dateien auf seinem Exchange Honepot ablegt und führt Befehle aus. Das muss aber noch nichts heißen, denn es könnte ja ein ungepatchter Exchange Server als Honeypot fungieren.

Frank Carius hat sich in diesem Artikel mit Requests an AutoDiscover V2 auseinander gesetzt. Andreas Bohren hat sich auf icewolf in diesem Artikel ebenfalls über diese Funktion ausgelassen. Es scheint möglich, Anfragen ohne Authentifizierung zu stellen.

Was mich aber hibbelig macht, ist ein zweiter Tweet von Kevin Beaumont, der in einer Europakarte die Microsoft Exchange Server 2016 mit Patchstand März 2021 auflistet. Warum gerade dieser Patchstand relevant ist, wird nachfolgend klar.

Exchange Server 2016, patch level March 2021

Deutschland ist in der Karte Blutrot, und auch Österreich sowie die Schweiz sind wohl gut dabei. Die Suchmaschine Shodan berücksichtigt laut diesem Tweet nun auch Exchange Server, die über die von  Orange Tsai angesprochenen Schwachstellen CVE-2021-3107, CVE-2021-34523, CVE-2021-31206, und CVE-2021-344722 angreifbar sind.

Ergänzung: Kollege Lawrence Abrams hat nach erscheinen meines Artikels diesen Beitrag auf Bleeping Computer veröffentlicht. Dort wird bestätigt, dass Exchange Server aktiv auf die NetShell-Schwachstelle und die drei Schwachstellen CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207 gescannt werden. Diese wurden im April 2021 durch KB5001779 und im Mai 2021 durch KB5003435 geschlossen. Die Offenlegung von CVE-2021-34473 und CVE-2021-34523 erfolgte im Juli 2021. Nachdem Vortrag von Orange Tsai auf der BlackHat 2021 veröffentlichten die Sicherheitsforscher PeterJson und Jang einen Artikel mit technischen Informationen darüber, wie sie den ProxyShell-Exploit erfolgreich reproduzieren konnten. Und damit schließt sich der Kreis.

Was schützt?

In seinen Vortragsfolien gibt Orange Tsai den Ratschlag, den Exchange Server auf dem neuesten Stand zu halten und nicht nach außen ins Internet zu lassen (gilt insbesondere Webpart). Zudem habe Microsoft das CAS Frontend im April 2021 verbessert, schreibt Orange Tsai. Die Verbesserung entschärft den Authentifizierungsteil dieser Angriffsfläche und reduzierte die "Vor-Authentifizierung" effektiv.

Und hier liegt nun der Hase im Pfeffer, wie im vorhergehenden Abschnitt klar wird. Denn es rennen da draußen viele Exchange Server mit Patchstand März 2021. Aber erst im April 2021 wurden die Schwachstellen stillschweigend gepatcht. Wer einen Exchange Server administriert, sollte diesen auf den aktuellen Patchstand bringen und auch die Erreichbarkeit per Internet unterbinden. Hier die Blog-Beiträge zu den betreffenden Exchange-Updates seit April 2021:

Anschließend gilt es abzuwarten, was zum August 2021 Patchday für Microsoft Exchange bereitgestellt wird und was künftig an Sicherheitsmeldungen (auch hier im Blog) erscheint.

Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren
Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben
Sicherheitsupdate für Exchange Server 2013 Service Pack 1 – Neue CUs für Exchange 2019 und 2016 (16.3.2021)
Microsoft Defender schließt automatisch CVE-2021-26855 auf Exchange Server
Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)
Neues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

25 Antworten zu Exchange-Schwachstellen: Droht Hafnium II?

    • Singlethreaded sagt:

      Das ist allerdings ein ganz anderes und wie ich schätze auch ehr seltenes Szenario. Da geht es ja um Überbleibsel alter Exchange Installationen im AD nach Deinstallation oder um Umgebungen welche noch EOL Versionen Exchange nutzen. Gerade der zweite Punkt ist sowieso ein NoGo.
      Ich denke das einzig sinnvolle ist es Exchange ins Backend zu verlagern und die Kommunikation nach extern über ein Mailgateway abzuwickeln. So ist er Exchange-Server erstmal aus der Schusslinie. Gerade OWA / EPC sollte gar nicht von außen zu erreichen sein.

      • Stefan sagt:

        Und wie sollen die Smartphones dann darauf zugreifen? Ich lese solche „Tipps" immer wieder nur genau an diesem Punkt hakts. VPN ist keine zuverlässige Lösung, ausser man ballert es den Usern als always-on-Lösung rein (bei ios nur über mdm machbar und) und somit halt Stromfresser.

        Clientzertifikate? Muss ich den IIS erst wieder nach aussen aufmachen.

        Wir schränken derzeit den IIS per Geo-Ip auf unser kleines Land ein aber das wars dann auch schon.

        Ps. Alte Exchangeversionen betreiben geht ja gaaar nicht? Willkommen im KMU-Umfeld der realen Wirtschaft 😂 .

        • DW sagt:

          Wir nutzen AD FS in Kombination mit WAP. Mit der entsprechenden Konfiguration werden die Exchange Services per Pre-Authentifcation gesichert. Somit hat der Exchange Server keinerlei Aufgaben bezüglich Authentifizierung mehr zu erledigen und damit auch aus der Schusslinie.

          Einzig unserere dienstlichen Notebooks (Microsoft Outlook) greifen über Always-On VPN zu. Das ist einer der Nebeneffekte, den wir gerne mitgenommen haben.

          Ist natürlich ein gewisser Aufwand und je nach Unternehmensgröße eine (große) Herausforderung.

          Wir schlafen nachts deutlich besser…

        • Singlethreaded sagt:

          Mir ist durchaus bewusst, dass es viele Firmen gibt, welche Exchange nicht warten und Updates wenn überhaupt erst viel zu spät installieren. Selbst bei der letzten Hafnium Lücke, welche es prominent bis in die Abendnachrichten schaffte, gibt es immernoch reichlich Leute, welche gar nichts unternommen haben oder sich aus anderen falschen Gründen in Sicherheit glaubten.
          Allerdings hält sich in solchen Fällen mein Mitleid in Grenzen. Bei all den Einschlägen der letzten Zeit, sollte langsam eine gewisse Sensibilisierung für das Thema IT-Security entstanden sein.
          PS: Mails auf dem Smartphone gibt es bei uns in der Firma nicht. Mitarbeiter im Außendienst haben aber leichte Netbooks, mit welchen sie sich an einem Web-Portal per Passwort + 2FA anmelden können. Von da geht's per WebRDP auf einen Terminalserver mit Outlook. Das wird seit Jahren so praktiziert und auch akzeptiert. Bisher sind wir gut damit gefahren.

        • JohnRipper sagt:

          Ich finde, dass man als KMU eigentlich keine Exchange Server bzw. Mail Server mehr selbst hosten kann.
          Da hängt so viel Aufwand dran, angefangen von entsprechenden IP Bereichen oder einem Proxy, über die Hardware, Backup, Spamfilter usw. Mit einmal im Monat einen Patch einspielen ist das ja nicht getan.

          Da ist man zwischenzeitlich echt sehr viel besser mit einem externen Dienstleister bedient. Ja, Exchange Online hat ebenfalls seine Themen — Datenschutz, Speicherung in den USA usw –, aber es gibt ja auch europäische Alternativen.

          Ich für meinen Teil, bin mit on-prem einfach durch.

    • Joe sagt:

      Danke auch für den Kommentar! Mit Hafnium bin sicher nicht nur ich nach Exchange Online migriert und habe diese Lücke…

  1. Carsten sagt:

    Also wir handhaben das seit Hafnium per VPN. Alles was geht ins VPN. Punkt. Die VPN Verbindungen werden bei Bedarf aufgebaut und vom Server alle 8 Std recycled. Zusätzlich 2FA. Always – On halte ich für ein Absolutes Unding und wirklich nur notwendig, wenn man auf wichtige Programmresourcen zugreift. Dann ziehe ich aber einen RDP Zugang vor. Das mit den on-demand Verbindungen hat auch den Vorteil, dass die Mitarbeiter selber bestimmen können wie sehr sie sich von der Arbeit am Feierabend / Wochenende / Urlaub gestört fühlen wollen. Wir sind auch nur ein KMU mit einer überschaubaren Mitarbeiteranzahl. Sicherheit ist uns halt wichtig.

  2. HDA sagt:

    Was ist denn von VPN On Demand statt VPN Allways On zu halten?
    Mit Apple soll das ja mit Boardmitteln gehen und unter Android mit Apps wie z.B. Tasker.
    Hatt einer Erfahrung damit?

    • JohnRipper sagt:

      Habe ich mal vor einer ganzen Weile getestet. Der Stromverbrauch ist bei always on nicht zu verachten. Eine On Demand Einwahl wurde als zu kompliziert und langsam bewertet.

  3. Olli sagt:

    Nachdem was jetzt bei Heise steht, wurden die betroffenen Lücken bereits mit den April und Mai Updates geschlossen.

    Wer also
    – bei Exchange 2016 brav das CU21 installiert hat
    – bei Exchange 2019 brav das CU10 installiert hat
    – und bei Exchange 2013 brav die Fixes KB5001779 und KB5003435 installiert hat

    sollte also bereits die nötigen Updates drauf haben.

    Kann das jemand bestätigen?

    • Carsten sagt:

      Das ist korrekt, steht auch teilweise hier im Artikel.

      Das Problem sind aber die ungepatchten Server, die nach wie vor frei im Internet hängen.

  4. ToWa sagt:

    Wenn es kracht ist dann wieder Microsoft der Schuldige, obwohl hinsichtlich der Schwachstellen schon vorgesorgt wird. Hilft aber ja nichts, wenn sich niemand um die Server kümmert.
    Ich finde man sollte irgendwie einen Schutzmechanismus aufbauen, ein Server mit veraltetem Softwarestand gibt eine Warnung an den Admin raus und eine Deadline, danach werden die Webservices deaktiviert.
    Wer sich nicht drum kümmern möchte sollte einfach den Exchange Online nutzen – fertig ist.

    • JohnRipper sagt:

      Was würdest du sagen, wenn dein Auto mit abgelaufenen TÜV nicht mehr fährt.

      • ToWa sagt:

        Naja wenn der Ordnungshüter dich mit abgelaufenen TÜV findet, dann mag der dich auch nicht.
        Ich hätte also kein Problem damit, wenn mich mein Fahrzeug daran erinnert, dass der TÜV fällig ist und mir dann eine Frist einräumt.
        Ist doch kein Drama dann dort vorbei zu fahren, fällt die Kiste durch gibt es Zeitraum X um zur Nachprüfung aufzutauchen.

        Nur weil die Grenzen nicht hart codiert sind, heißt es doch nicht, dass man das ausreizen muss?
        Wie gesagt im IT-Land sollte sich jemand für die Systeme zuständig fühlen, tut das niemand gibt es hier sogar die Lösung das vom Hersteller machen zu lassen.

  5. Robert Richter sagt:

    Es ist leider Wochenende und ich hatte wenig Zeit, dies genauer zu lesen.
    Aber wenn ich heise.de lese, dann ist angeblich alles schon mit den letzten Patches sicher gemacht worden – oder..?
    https://www.heise.de/news/Exchange-Server-jetzt-patchen-Angreifer-suchen-aktiv-nach-neuer-Luecke-6158190.html
    Dann ist aber der Beitrag HIER (wie auch bei heise.de) etwas übertrieben aufgemacht, was ich mir wiederum von Herrn Born nicht vorstellen kann. Also was nun? Alles sicher durch die letzten Patches – oder nicht?

    • Günter Born sagt:

      Du hast aber doch wenigstens den Beitrag hier gelesen? Es sind eine Menge Exchange Server in Deutschland auf dem Patchstand März 2021, also für ProxyLogon angreifbar.

      Im obigem Beitrag wurde empfohlen, die Exchange-Server auf den neuesten Patchlevel zu bringen und möglichst nicht per Internet erreichbar zu halten.

      Und es wurde durch die Blume mitgeteilt, dass dieses alles nur die Spitze eines Eisbergs sei, patchen hilft zwar, aber niemand weiß, welche Schwachstellen in Exchange schlummern und bereits von den bösen Buben gefunden wurden.

      Ansonsten dürfte Dienstag der Tag der Wahrheit sein. Entweder Microsoft sagt: Alles gefixt – oder man bietet neue Patches an.

  6. Chris sagt:

    Verwirrend ist die Angabe KB5001779 und KB5003435, denn wer mit seinem Exchange 2013 CU23 auf Stand März ist, bekommt bei der Update Suche nur noch KB5001779 angeboten, da KB5001779 das ältere KB5003435 abgelöst (superseeded).

    Guckt man bei MS bei KB5001779 nach, steht dort:

    Wichtig: Bitte installieren Sie das Sicherheitsupdate vom Mai 2021. Dieses Update ersetzt diesen Sicherheitsfix

    Sprich, MS hat es hier mal wieder etwas versaut, das Mai Update KB5003435 wurde aus dem Updatekatalog geworfen obwohl es nach wie vor benötigt wird.

    Und was macht man jetzt wenn man KB5001779 schon installiert hat? Reicht es KB5003435 nach zu installieren, oder muss man danach nochmal KB5001779 drüber bügeln?

    • Carsten sagt:

      Das ist nicht korrekt! Microsoft hat genau das richtige geschrieben. Die Updates sind kumulativ. Darum ERSETZT es auch das Update von April. Wer jetzt noch auf Stand März ist(wieso auch immer…) hat das Mai Update zu installieren und gut ist. Wichtig ist patchen!

    • Chris sagt:

      Hab es wohl falsch herum gelesen, KB5003435 ersetzt KB5001779 und nicht umgekehrt.

      KB5001779 wurde per Windows Update angeboten, KB5003435 hingegen nicht.
      Am Ende ist es aber KB5004778 was in der Liste auftaucht und nicht die KB Nummern aus den Updates, alles sehr verwirrend.

  7. Manuel sagt:

    Hallo Born,
    Du schreibst im Artikel "Was Schütz"
    der Patch:
    Exchange Server Security Update KB5001779 (13. April 2021)
    Wurde doch durch den:
    KB5004779 (https://www.catalog.update.microsoft.com/ScopedViewInline.aspx?updateid=61a99d43-0940-431a-803b-071a8c40db5e#PackageDetails)
    ersetzt?

    Danke für deine Super Beiträge, es bringt immer Licht in das dunkle.

  8. Vino sagt:

    Wird die Problematik mit der AMSI-Schnittstelle mit dem letzten Update behoben?

  9. Chris sagt:

    Ja, hab es jetzt auch gesehen, war verwirrt das KB5003435 nicht in der Liste der installierten Updates aufgetaucht ist, was aber daran liegt das dort dann KB5004778 steht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.