Inhaltsverzeichnis
Letzte Aktualisierung am 22.07.2024, 21:07:41 Uhr
[Letzte Aktualisierung 09.03.2021] Wie sicherlich der größte Teil der verantwortungsvollen IT-Administratoren/innen mitbekommen haben, gibt es für das Produkt Microsoft Exchange Server insgesamt vier 0-Day-Exploits. Betroffen sind die Produktversionen 2010, 2013, 2016 und 2019. Wobei Ersteres natürlich über keinen erweiterten Support mehr verfügt und damit verbunden auch kein Sicherheitsupdate bereitgestellt wird.
Downloads
Hier die offizielle Mitteilung des Microsoft Security Response Center:
Multiple Security Updates Released for Exchange Server
Dazu auch die entsprechenden Knowledge Base Artikel:
Description of the security update for Microsoft Exchange Server 2010 Service Pack 3 (KB5000978)
Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: March 2, 2021 (KB5000871)
Die notwendige Sicherheitsupdates wurdem am 02.03.2021 von Microsoft veröffentlicht und können hier heruntergeladen werden:
Update Rollup 32 for Exchange Server 2010 SP3
Security Update For Exchange Server 2013 Cumulative Update 23
Security Update For Exchange Server 2016 Cumulative Update 14
Security Update For Exchange Server 2016 Cumulative Update 15
Security Update For Exchange Server 2016 Cumulative Update 16
Security Update For Exchange Server 2016 Cumulative Update 18
Security Update For Exchange Server 2016 Cumulative Update 19
Security Update For Exchange Server 2019 Cumulative Update 4
Security Update For Exchange Server 2019 Cumulative Update 5
Security Update For Exchange Server 2019 Cumulative Update 6
Security Update For Exchange Server 2019 Cumulative Update 7
Security Update For Exchange Server 2019 Cumulative Update 8
Ältere Cumulative Updates der jeweiligen Exchange Server Version werden nicht unterstützt. Daher ist evtl. notwendig zuerst die aktuellste Version des CU einzuspielen. Damit anschließend das Sicherheitsupdate installiert werden kann.
Damit verbunden, je nachdem wie alt das eingesetzte CU ist, auch an die .NET Framwork Problematik denken: Einsatz von .NET Framework 4.8 mit Exchange Server.
Informationen
John Hammond von Huntress hat vor knapp zwei Stunden auf Youtube ein Video veröffentlicht. Dabei geht es um die genaue Analyse und Vorgehen de Angreifer: Analysis – Post-Exploitation from Microsoft Exchange HAFNIUM
Des Weiteren hat Krebs On Security den zeitlichen Verlauf sehr gut recherchiert und dokumentiert. A Basic Timeline of the Exchange Mass-Hack
Überprüfung der Systeme Server
Microsoft stellt inzwischen auch Skripte und Tools bereit, um die Exchange Server zu überprüfen. Diese können auf dem offiziellen GitHub Account des Exchange Servers Supports angesehen und heruntergeladen werden.
Passend dazu verlinke ein kl. YouTube Video, in dem die Nutzung der Skripte und Tools schön erläutert werden: How to run the GitHub script for the Hafnium vulnerability.
Des Weiteren hat Microsoft die Signaturen des Microsoft Windows Firewall Defender und Microsoft Forefront Entpoint Protection entsprechend erweitert, um die Schädlinge aufzuspüren. Wer allerdings auf ein anderes Produkt für Malware/Antivirus setzt, muss auf das Updates des Herstellers warten.
Daher steht das Microsoft Support Emergency Response Tool kostenlos zum Download zur Verfügung. Dessen Nutzung wird in einem Beitrag Microsoft’s MSERT tool now finds web shells from Exchange Server attacks sehr gut erklärt.
Inzwischen gibt es auch Kommentare in anderen Blogs, dass die Angreifer auf den Exchange Servern zwei geplante Aufgaben erstellt haben. Die Namen lauten winnet und sync.
Get-ScheduledTask | Where-Object { $_.TaskName -eq 'sync' -or $_.TaskName -eq 'winnet' } | Get-ScheduledTaskInfo
In einem anderen Kommentar haben die Angreifer versucht, die URLs von OABVirtualDirectory zu ändern. Kurzer Check der Adressen mit Hilfe der Exchange Management Shell (EMS).
Get-ActiveSyncVirtualDirectory -Server $env:computername | Fl InternalURL, ExternalUrl Get-ClientAccessService $env:computername | Fl AutoDiscoverServiceInternalUrl Get-EcpVirtualDirectory -server $env:computername | Fl InternalURL, ExternalUrl Get-MapiVirtualDirectory -Server $env:computername | Fl InternalURL, ExternalUrl Get-OabVirtualDirectory -Server $env:computername | Fl InternalURL, ExternalUrl Get-OutlookAnywhere -Server $env:computername | Fl InternalHostname, ExternalHostname Get-OwaVirtualDirectory -Server $env:computername | Fl InternalURL, ExternalUrl Get-WebServicesVirtualDirectory -server $env:computername | Fl InternalURL, ExternalUrl
Ich drück euch die Daumen, dass ihr rechtzeitig die neue Sicherheitsupdate installiert habt. Oder aber der Zugriff von außen (=Internet) bereits vor dem Bekanntwerden vorbildlich geschützt habt.
Mitteilungen von verschiedenen Einrichtungen
CISA: Mitigate Microsoft Exchange Server Vulnerabilities
CISA: Emergency Directive and Alert on Microsoft Exchange Vulnerabilities
DHS: Emergency Directive 21-02
BSI: Mehrere Schwachstellen in MS Exchange