[English]Microsoft hat die Nacht weitere Sonder-Updates für ältere CUs von Microsoft Exchange Server (die bereits aus dem Support gefallen sind) herausgegeben – die auch unter WSUS auftauchen. Zudem kristallisiert sich heraus, wann die Angriffswellen liefen und ob was gegen den Hack geschützt hat, obwohl einige seit Monaten vier bekannte 0-day-Exploits bestanden. Ich fasse mal einige neue Informationen in diesem Beitrag zusammen.
Anzeige
Der Massenhack der mutmaßlich chinesischen Hackergruppe Hafnium schickt ja Schockwellen durch das Microsoft Universum. Viele Administratoren und auch Microsoft scheinen auf dem falschen Fuß erwischt worden zu sein. Noch scheint das Ende der Fahnenstange nicht erreicht.
Neue Sonderupdates
Die Nacht ist eine Mail von Microsoft eingetroffen, in der auf neu freigegebene Sonderupdates für ältere kumulative Exchange Server Updates, die aus dem Support gefallen sind, bereitstellt. Das betrifft Exchange Server 2016 CU 16, CU 15 und CU14 sowie Exchange Server 2019 CU 6, CU 5 und CU 4. Hier der Text der Benachrichtigung:
******************************************************************
Title: Microsoft Security Update Releases
Issued: March 8, 2021
******************************************************************
Summary
=======
Anzeige
The following CVEs have undergone a major revision increment:
Critical CVEs
============================
* CVE-2021-26855
* CVE-2021-27065
* CVE-2021-26857
Important CVEs
============================
Publication information
===========================
– Microsoft Exchange Server Remote Code Execution Vulnerability
– See preceding list for links
– Version 2.0
– Reason for Revision: Microsoft is releasing security updates for CVE-2021-27065,
CVE-2021-26855, CVE-2021-26857, and CVE-2021-26858 for several Cumulative Updates
that are out of support, including Exchange Server 2019 CU 6, CU 5, and CU 4 and
Exchange Server 2016 CU 16, CU 15, and CU14. These updates address only those CVEs.
Customers who want to be protected from these vulnerabilities can apply these
updates if they are not on a supported cumulative update. Microsoft strongly
recommends that customers update to the latest supported cumulative updates.
– Originally posted: March 2, 2021
– Updated: March 8, 2021
Wenn meine Informationen stimmen, sollten diese Updates für die älteren CUs auch unter WSUS zur Verteilung auftauchen. Kann dies jemand bestätigen? Für Administratoren noch ein Link auf die Microsoft Seite Exchange Server – Buildnummern und Veröffentlichungstermine mit einer Auflistung der Patches.
Fragen und Antworten
Durch die Berichterstattung hier im Blog und auf meinen Artikel Cyberangriff auf Exchange Server der Europäischen Bankenaufsichtsbehörde bei heise sind einige zusätzliche Informationen angefallen und Fragen aufgekommen. Hier einige Sachen, die ich mal kurz zusammenziehe.
Wann liefen die Angriffswellen
Es klingt gelegentlich in Kommentaren im Web durch, dass die Administratoren nicht rechtzeitig gepatcht hätten, also selbst schuld seien, durch. Nach meinen Informationen greift die Schuldzuweisung an Administratoren und deren Patch-Management stellenweise etwas zu kurz.
Stefan weist in diesem Kommentar hier im Blog auf die Seite proxylogon.com, die die Informationen zu den Schwachstellen und Angriffen enthält. Bei Proxylogon handelt es sich um die Schwachstelle CVE-2021-26855 in Exchange Server, die einem Angreifer ermöglicht, die Authentifizierung zu umgehen und sich als Administrator auszugeben. Die Sicherheitsforscher von DEVCORE haben diesen Fehler mit einer anderen Post-Auth-Schwachstelle CVE-2021-27065, die ein willkürliches Schreiben von Dateien ermöglicht, kombiniert, um Codeausführung zu erreichen. Dadurch kann ein nicht authentifizierter Angreifer beliebige Befehle auf Microsoft Exchange Server über einen geöffneten 443-Port ausführen.
- Bereits 2019 haben die DEVCORE-Sicherheitsforscher auf die Risiken hingewiesen – gab viel mediale Aufmerksamkeit, passiert ist bei Exchange nichts.
- Im Oktober 2020 haben die Sicherheitsforscher sich den Exchange Server vorgenommen und am 10. Dezember die Schwachstelle CVE-2021-26855 gefunden.
- Am 27. und am 30. Dezember 2020 wurde zwei Schwachstellen an Microsoft gemeldet, die am 6. Januar 2021 durch MSRC bestätigt wurden. Als die Sicherheitsforscher im Februar 2020 bei Microsoft nachfassten, warum kein Patch zum 2.2.2021 kam, "man habe die Geschichte gesplittet und werden die 120-Tage-Dead-Line der Veröffentlichung mit Patches einhalten.
Noch Mitte Februar 2021 hatte Microsoft vor, die Exchange-Updates zum 9. März 2021 (Patchday) auszurollen, hat das Ganze dann in einer Hau-Ruck-Aktion auf den 2./3. März 2021 vorgezogen. Bereits am 4. März wurden Exploits bekannt, die in freier Wildbahn massiv eingesetzt wurden, die aber mit den bereits gemeldeten Exploits übereinstimmten.
- In diesem heise-Kommentar gibt ein Leser an, dass gezielte Angriffe ab dem 6. Januar 2021 erfolgten, und bereits ab 26. Februar 2021 großflächig Exchange Server übernommen und mit einer Backdoor versehen wurden.
- In diesem heise-Kommentar gibt ein Leser an, dass ein Großteil seiner Exchange Server, die per Port 443 aus dem Internet erreichbar waren, am 3. März 2021, also kurz nach Freigabe der Updates übernommen worden seien. Die restlichen Exchange Server wurden am 4. und 5. März 2021 gehackt und übernommen.
Blog-Leser Erlenmeyer hat es bei heise in diesem Kommentar auch nochmals hervorgehoben. Einzige Rettung für viele Exchange Admins wäre gewesen, wenn ein Patch oder eine Warnung Mitte Januar 2021 gekommen wäre.
Das Ganze erinnert mich an das Shitrix-Thema, wo ich am 20. Dezember 2019 und dann noch am 3. Januar 2020 was im Blog hatte. Gut eine Woche später gab es dann die Hacks bzw. Ransomware-Infektionen in Firmen und Kommunen, die diese Schwachstelle ausnutzten.
Und noch zwei Gedanken. Mir wird (unter der Hand) immer erzählt, dass da Thread Intelligence-Lösungen samt Microsoft Defender ATP laufen, die vor unbekannten Bedrohungen schützen. Ich mag mich täuschen, werde aber das Gefühl nicht los, dass diese tollen Lösungen blind für die Angriffe waren (erinnert an SolariGate, wo die US-Lösung Einstein auch nichts gemerkt hat). Nachfolgend ein Tweet vom 3. März 2021, der noch von limitierten Angriffen spricht – Leser Erlenmeyer hat das hier nochmals ausgegraben. Und es kristallisiert sich heraus, dass die Microsoft-Monokultur nicht nur fatale Abhängigkeiten sondern auch eine raumgreifende Angriffsfläche schafft.
Schützt ein Reverse Proxy?
Es gab bei heise in den Foren und auch hier im Blog die Information, dass die Verwendung eines Reverse Proxy den Angriff verhindern würde. Ich bin da nicht so drin, aber der Reverse Proxy dient häufig zur Performance-Optimierung – könnte aber auch für Firewall-Funktionen eingesetzt werden. Wenn eine Firewall-Filterung auf bestimmte IP-Adressen erfolgt, hat das möglicherweise geholfen. Aber ich verweise auf diesen Kommentar hier im Blog. Dort weist Christoph darauf hin, dass 95% der Kundensysteme hinter Reverse Proxy-Servern liefen und trotzdem einige kompromittiert wurden.
Der einzige wirksame Schutz, den es vor der Veröffentlichung der außerplanmäßigen Exchange Sicherheitsupdates wohl gab, war die Kommunikation über den Port 443 zu unterbinden oder zu filtern. In diesem Kommentarthread werden einige Gedanken dazu geäußert. Ob das handhabbar ist, kann ich aktuell nicht abschätzen.
Warum ist Exchange Online nicht betroffen?
Microsoft selbst gibt in seinen Supportbeiträgen an, dass Exchange Online nicht von den Schwachstellen betroffen sei. Ich habe jetzt nicht gezielt gesucht, sondern bin in diesem heise-Kommentar auf eine Diskussion und mögliche Erklärung gestoßen. Die Kurzfassung: Bei Exchange Online gibt es kein öffentlich erreichbares Exchange Control Panel (ECP).
Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren
Anzeige
Zur Info:
Aktuell scheint es auch Probleme mit Spamhaus/Spamcop zu geben.
GMX, Google und Co. werden teilweise geblockt und kommen nicht auf unserem On-Site Exchange an.
Dieser Beitrag scheint gut recherchiert zu sein:
https://krebsonsecurity.com/2021/03/a-basic-timeline-of-the-exchange-mass-hack/
auf dem WSUS gibt es noch nichts Neues
Beim Reverse-Proxy kommt es darauf an ob mit oder ohne Präauthentifizierung. D.h. ob direkt zum Exchange IIS weitergleitet wird oder ob man sich erst mit einem AD-User auf dem Reverse-Proxy authentifzieren muss, um zum IIS vom Exchange zu dürfen.
Also zusammenfassend für Exchange 2016 gibt es jetzt Updates für CU14, CU15, CU16, CU18 und CU19. Das Zählen muss man bei Microsoft offensichtlich nochmal üben. :-)
Diese Sache mit Admins patchen nicht rechtzeitig. Ja und nein. Wir sind selbst davon betroffen und somit logischerweise selbst Schuld. Aber Microsoft verkackt es sich auch echt selbst. Warum müssen die CUs immer noch Aktiv als ISO runtergeladen und installiert werden? Das ist insbesondere für kleine Firmen, mit wenig Manpower und viel eingekaufter Knowledge nicht gut. Wir hatten schon so dermaßen viel Probleme mit CUs, dass man es mittlerweile 3 mal überlegt die früh einzuspielen. Bin recht dankbar, dass die Patches jetzt auch noch für ältere Versionen kommen. Zwar spät, aber wird sicher noch einiges abfedern. Ich sehe da nicht nur Admins, sondern auch Microsoft in der Pflicht.
Nun ja, zum Thema selbst schuld…
Uns hat die Sache ebenfalls getroffen.
Wir haben Exchange 2016 mit CU19 und fast tagesaktuell installierten Patches am laufen. Und das war auch schon immer so.
Um die Dringlichkeit dieses Patches mitzubekommen, hätte man erst mal wissen müssen das es ihn gibt, bzw. für was er überhaupt gut ist.
Wenn man nicht einschlägige Websites ständig verfolgt, bekommt man sowas nicht zwingend immer mit.
Und um ehrlich zu sein: Wir haben absichtlich 5 Tage Differenz zwischen neu veröffentlichten Patches und der Installation.
Warum? Einfach weil MS in den letzten Jahren durch Patches recht viel hinrichtet.
Wenn 5 Tage inzwischen zuviel sind, sollte man sich wirklich langsam überlegen die allumfassende Vernetzung wieder zurück zu fahren, da man das Zeug offensichtlich kaum noch sicher betreiben kann.
"Wenn man nicht einschlägige Websites ständig verfolgt, bekommt man sowas nicht zwingend immer mit."
Kleiner Tipp:
Wir nutzen den Informationsdienst von CERT-Bund vom BSI.
Hierfür ist eine Registrierung erforderlich.
Nähere Infos, siehe:
https://www.cert-bund.de/overview/AdvisoryShort
Sicherheitshinweise mit der Risikostufe 5 und 4 werden bei uns umgehend eingespielt.
Ansonsten:
Von Microsoft wurde der Patch in der letzten Woche in der Nacht auf Mittwoch (3. März 2021) veröffentlicht.
Am Mittwoch Morgen (gegen 10 Uhr) erhielten wir dann von CERT-Bund die entsprechende Meldung.
Um 10 Uhr 30 wurde das Update (ohne Rücksicht auf die Anwender) eingespielt.
Zuvor natürlich eine entsprechende Mitteilung an die Anwender, dass über Outlook für einen Zeitraum von ca. 30 Minuten der E-Mail Empfang und Versand nicht bzw. verzögert erfolgt.
Eingehende Beschwerden der Anwender wie "Ich muss jetzt unbedingt eine E-Mail versenden" wurden konsequent ignoriert.
Danke für den Tipp, kannte ich bis dato nicht!
Vielen Dank, das war mir noch nicht bekannt und ist eine große Hilfe!
Reverse Proxy hilft viel, wenn er die Authentisierung macht. Dann kann nämlich kein Fremder Requests an den verwundbaren Server schicken.
Ein Reverse Proxy, der einfach nur filtert, hilft wenig, wenn er nicht genau weiß, was er filtern soll.
Den Patch gibt es auch für den eigentlich nicht mehr supporteten Exchange 2010.
Der Patch wird auch im WSUS angezeigt.
Unser Microsoft Account Manager hat uns am Morgen des 4. März direkt angeschrieben und sich erkundigt, ob wir Unterstützung benötigen ("Ihr Microsoft Account Team und die Support-Teams wurden vollständig mobilisiert. Bitte lassen Sie mich wissen, wenn Sie zusätzliche Hilfe benötigen.").
Der 4. März war wohl leider viel zu spät da ein Großteil der Systeme bereits am 3. März übernommen wurden, selbst wenn der Patch bereits am 3. März installiert wurde sollte das System unbedingt auf Spuren einer Backdoor untersucht werden wenn Port 443 öffentlich erreichbar war.
Neues von den Schweizern:
https://www.govcert.ch/blog/exchange-vulnerability-2021/
Bei uns ist die ECP Konsole schon immer durch den Reverse Proxy geblockt.
Das hat uns wohl auch davor bewahrt "gehackt" zu werden.
Aktuell gibt es wohl eine Migrationswelle zu Exchange Online. Da lauert aber schon der nächste Überraschung. Da frag ich mich ist Microsoft 365 wirklich sicher?
https://www.golem.de/news/exchange-hack-microsoft-365-migrationstool-durch-textdatei-ausgetauscht-2103-154797.html
Vor dem Hafnium-Thema wäre man mit Exchange Online in diesem konkreten Fall zwar bewahrt geblieben aber das lässt sich ja nicht generalisiert auf alles übertragen. Als nächstes gibt's dann wieder einen Angriffsvektor für Exchange Online den es bei On-Prem nicht gibt und alle wollen wieder zurück.
Ein Kundenserver mit Exchange 2016 CU18 wurde am Nachmittag des 3. März gehackt – den Kunden hatten wir kurz vorher darüber informiert, dass wir das Sicherheitsupdate am Abend einspielen werden. Leider Pech gehabt.
Aber: Das ECP war im Exchange für "von außen" deaktiviert. Der Server wurde trotzdem gehackt. Es war tatsächlich auch der einzige Server nach aktuellem Kenntnisstand. Die übrigen, nicht gehackten Server unter unserer Wartung, hatten alle KEIN Unified Messaging aktiviert. Das scheint einen Unterschied gemacht zu haben, zumindest was die wahrscheinlich großflächige Angriffswelle angeht. Das kann ich aber nur aus unserer Erfahrung berichten
Hi. Wie habt ihr den festgestellt das die Server gehackt wurden?
Wir haben am Montag auf CU8 und dem Securitypatch aktuelisiert. Script ist ok Firewall zeigt nicht wirklich was an. Gibts sonst was was man selber noch prüfen kann? und wenn ja wie?
[quote]Aus technischen Gründen sind die Mitarbeiterinnen und Mitarbeiter der gesamten Stadtverwaltung Perleberg bis auf Weiteres nicht per E-Mail erreichbar.
Die Stadtverwaltung nutzt die Software Microsoft Exchange. Diese E-Mail-Software wurde bundesweit gehackt. Schlimmeres konnte in der Verwaltung durch ein Antivirus-Programm verhindert werden. [/quote]
https://www.stadt-perleberg.de/news/1/635105/nachrichten/nur-telefonisch-erreichbar!.html
Hameln Verwaltung fährt Server herunter, Rathaus nicht per E-Mail erreichbar
Die Verwaltung spricht von einer „reinen Vorsichtsmaßnahme": Am heutigen Mittwoch ab 14.30 Uhr lässt die Stadt ihren Microsoft Exchange Server herunterfahren. Damit ist der gesamte externe und interne E-Mail-Verkehr unterbrochen. Bürgerinnen und Bürger haben bis einschließlich Freitag nur die Möglichkeit, telefonisch oder per Brief Kontakt mit der Verwaltung aufzunehmen.
Office365 hat eine ECP
Ob diese mit denen der OnPremise Exchangeserver vergleichbar ist, ist fraglich.
Man darf aber trotzdem davon ausgehen das MS bei Exchange Online ganz andere Patchmachnismen hat, als in den Firmen mit OnPremise Exchange. (Der Patch ist nicht unbedingt sehr Adminfreundlich…) Weiter ist eigentlich klar, dass MS deutlich mehr Zeit hatte, seine System abzusichern.
Die E-Mail von Microsoft kam bei uns am 3.3. um 21:58 Uhr, erwischt hat es dies ersten Server am 3.3. ab 7 Uhr….
Cyberangriff auf die Gemeinde Gerstetten
Ziel ist es, dass bis zum Ende dieser Woche die Gemeinde wieder per E-Mail erreichbar ist.
https://www.gerstetten.de/de/Aktuelles/Gemeindenachrichten/Gemeindenachricht?view=publish&item=article&id=2013
Vom Schweizer Cert gibt es einen aktualisierten Artikel mit noch ein paar zusätzlichen IP-Adressen von denen Angriffe kommen, die sollte man mal auf der Firewall sperren. Wenn man für die IP-Adressen eine whois-Abfrage macht, kommen da, nunja, interessante Ergebnisse. Einmal ist eine Subdomain von example.com dabei…
https://www.govcert.ch/blog/exchange-vulnerability-2021/
https://www.gerstetten.de/de/Aktuelles/Gemeindenachrichten/Gemeindenachricht?view=publish&item=article&id=2013
https://www.stadt-perleberg.de/news/1/635105/nachrichten/nur-telefonisch-erreichbar!.html
Lauter Stadtverwaltungen die momentan ihre Exchangeserver checken müssen.
Exchange trifft Parlament von Norwegen
Der IT-Angriff erfolgt durch Ausnutzen von Sicherheitslücken in Microsoft-Programmen (Übersetzung).
***
Nachtrag nicht zur Meldung, packe sie hier trotzdem mit rein :)
Ausführliche Analyse von Eset
https://web.archive.org/web/20220810043533/https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/
Heute ist auch ein Patch für Exchange 2016 CU 17 erschienen. Das war bislang komischerweise nicht enthalten.
Frage: warum wird so stark auf "aktiviertes OWA" abgestellt, also in den verschiedenen Medien? Wenn man sich Logs anschaut ist doch zu sehen, dass überwiegend über ECP versucht wurde in die Systeme zu kommen!?