{"id":250619,"date":"2021-03-03T03:19:42","date_gmt":"2021-03-03T02:19:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=250619"},"modified":"2021-03-13T17:33:02","modified_gmt":"2021-03-13T16:33:02","slug":"exchange-server-0-day-exploits-werden-aktiv-ausgenutzt-patchen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/03\/03\/exchange-server-0-day-exploits-werden-aktiv-ausgenutzt-patchen\/","title":{"rendered":"Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/03\/03\/exchange-server-0-day-exploits-werden-aktiv-ausgenutzt-patchen\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Microsoft warnt: Es werden vier 0-day-Schwachstellen f\u00fcr gezielte Angriffe auf Exchange per Outlook Web App kombiniert. Administratoren von On-PremisesMicrosoft Exchange-Servern sollten dringen reagieren und die zum 2. M\u00e4rz 2021 freigegebenen Updates installieren. Auch f\u00fcr Exchange Server 2010 gibt es noch ein Sicherheitsupdate.<\/p>\n<p><!--more--><\/p>\n<h2>Kurzwarnung durch Microsoft<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/45672faba7074f8ca2604805957ba778\" alt=\"\" width=\"1\" height=\"1\" \/>Microsoft hat mir vor wenigen Stunden eine Warnung per E-Mail zukommen lassen, die Revisionen von Sicherheitsbeschreibungen, aber auch Beschreibung der Microsoft Exchange Server Remote Code Execution Schwachstellen thematisiert. Hier die Offenlegung der Schwachstellen.<\/p>\n<p>*******************************************************************************<br \/>\nTitle: Microsoft Security Update Releases<br \/>\nIssued: March 2, 2021<br \/>\n*******************************************************************************<\/p>\n<p>Summary<br \/>\n=======<\/p>\n<p>The following CVEs have undergone a major revision increment:<\/p>\n<p>Critical CVEs<br \/>\n============================<\/p>\n<p>* CVE-2021-26412 &#8211; <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26412\" target=\"_blank\" rel=\"noopener\">https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26412<\/a><br \/>\n* CVE-2021-26855 &#8211; <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26855\" target=\"_blank\" rel=\"noopener\">https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26855<\/a><br \/>\n* CVE-2021-27065 &#8211; <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-27065\" target=\"_blank\" rel=\"noopener\">https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-27065<\/a><br \/>\n* CVE-2021-26857 &#8211; <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26857\" target=\"_blank\" rel=\"noopener\">https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26857<\/a><\/p>\n<p>Important CVEs<br \/>\n============================<\/p>\n<p>* CVE-2021-27078 &#8211; <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-27078\" target=\"_blank\" rel=\"noopener\">https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-27078<\/a><br \/>\n* CVE-2021-26854 &#8211; <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26854\" target=\"_blank\" rel=\"noopener\">https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26854<\/a><br \/>\n* CVE-2021-26858 &#8211; <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26858\" target=\"_blank\" rel=\"noopener\">https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26858<\/a><\/p>\n<p>Publication information<br \/>\n===========================<\/p>\n<p>&#8211; Microsoft Exchange Server Remote Code Execution Vulnerability<br \/>\n&#8211; See preceding list for links<br \/>\n&#8211; Version 1.0<br \/>\n&#8211; Reason for Revision: Information published<br \/>\n&#8211; Originally posted: March 2, 2021<br \/>\n&#8211; Updated: N\/A<\/p>\n<p>Gleichzeitig bin ich \u00fcber diverse Warnungen auf Twitter auf das Thema aufmerksam geworden. So weist GossiTheDog in folgendem <a href=\"https:\/\/twitter.com\/gossithedog\/status\/1366858907671552005\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> darauf hin, dass die vier Schwachstellen ausgenutzt werden.<\/p>\n<p><a href=\"https:\/\/twitter.com\/gossithedog\/status\/1366858907671552005\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Warnung vor Exchange-Server-Schwachstellen\" src=\"https:\/\/i.imgur.com\/5yW4Daz.png\" alt=\"Warnung vor Exchange-Server-Schwachstellen\" \/><\/a><\/p>\n<h2>Details zum Angriff<\/h2>\n<p>Microsoft hat <a href=\"https:\/\/www.microsoft.com\/security\/blog\/2021\/03\/02\/hafnium-targeting-exchange-servers\/\" target=\"_blank\" rel=\"noopener\">diesen Beitrag<\/a> zum Thema ver\u00f6ffentlicht. Die Sicherheitsexperten haben eine Angriffskampagne bemerkt, die mehrere 0-Day-Exploits (siehe obige Links) f\u00fcr Angriffe auf lokale Versionen von Microsoft Exchange Server in begrenzten und gezielten Angriffen verwendet.<\/p>\n<ul>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26855\" target=\"_blank\" rel=\"noopener\">CVE-2021-26855<\/a> ist eine SSRF-Schwachstelle (Server-Side Request Forgery) in Exchange, die es dem Angreifer erm\u00f6glicht, beliebige HTTP-Anfragen zu senden und sich als Exchange-Server zu authentifizieren.<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26857\" target=\"_blank\" rel=\"noopener\">CVE-2021-26857<\/a> ist eine Deserialisierungsschwachstelle im Unified Messaging-Dienst. Eine unsichere Deserialisierung liegt vor, wenn nicht vertrauensw\u00fcrdige, vom Benutzer kontrollierbare Daten von einem Programm deserialisiert werden. Durch das Ausnutzen dieser Schwachstelle konnte HAFNIUM Code als SYSTEM auf dem Exchange-Server ausf\u00fchren. Dies erfordert Administratorrechte oder eine andere Schwachstelle, die ausgenutzt werden kann.<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26858\" target=\"_blank\" rel=\"noopener\">CVE-2021-26858<\/a> ist eine Sicherheitsanf\u00e4lligkeit in Exchange, bei der nach der Authentifizierung beliebige Dateien geschrieben werden k\u00f6nnen. Wenn HAFNIUM sich beim Exchange-Server authentifizieren k\u00f6nnte, k\u00f6nnte er diese Sicherheitsanf\u00e4lligkeit nutzen, um eine Datei in einen beliebigen Pfad auf dem Server zu schreiben. Sie k\u00f6nnten sich authentifizieren, indem sie die SSRF-Schwachstelle CVE-2021-26855 ausnutzen oder die Anmeldedaten eines legitimen Administrators ausspionieren.<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-27065\" target=\"_blank\" rel=\"noopener\">CVE-2021-27065<\/a> ist eine Schwachstelle f\u00fcr das Schreiben beliebiger Dateien nach der Authentifizierung in Exchange. Wenn HAFNIUM sich beim Exchange-Server authentifizieren konnte, konnte es diese Schwachstelle nutzen, um eine Datei in einen beliebigen Pfad auf dem Server zu schreiben. Sie k\u00f6nnten sich authentifizieren, indem sie die SSRF-Schwachstelle CVE-2021-26855 ausnutzen oder die Anmeldedaten eines legitimen Administrators ausspionieren.<\/li>\n<\/ul>\n<p>Details des Angriffs sind im <a href=\"https:\/\/www.microsoft.com\/security\/blog\/2021\/03\/02\/hafnium-targeting-exchange-servers\/\" target=\"_blank\" rel=\"noopener\">Microsoft-Beitrag<\/a> beschrieben. Dort wird auch beschrieben, wie man erkennen kann, ob der Exchange-Server m\u00f6glicherweise kompromittiert wurde.<\/p>\n<p>Bei den beobachteten Angriffen nutzte der Bedrohungsakteur diese Schwachstellen, um auf lokale Exchange-Server zuzugreifen. Dies erm\u00f6glichte den Zugriff auf E-Mail-Konten und die Installation zus\u00e4tzlicher Malware, um den langfristigen Zugriff auf die Umgebungen der Opfer zu erleichtern. Das Microsoft Threat Intelligence Center (MSTIC) f\u00fchrt diese Kampagne mit hoher Wahrscheinlichkeit auf die HAFNIUM-Gruppe zur\u00fcck. Microsoft geht aufgrund der beobachteten Viktimologie, Taktik und Vorgehensweise davon aus, dass es eine staatlich gesponsert und von China aus operierend Gruppe ist.<\/p>\n<h2>Schwachstellen per Update KB5000871 adressiert<\/h2>\n<p>Die Schwachstellen, die k\u00fcrzlich ausgenutzt wurden, waren CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065, die alle in der heutigen Microsoft Security Response Center (MSRC) Ver\u00f6ffentlichung &#8211; <a href=\"https:\/\/msrc-blog.microsoft.com\/2021\/03\/02\/multiple-security-updates-released-for-exchange-server\/\" target=\"_blank\" rel=\"noopener\">Multiple Security Updates Released for Exchange Server<\/a> &#8211; adressiert wurden. Die Sicherheitsl\u00fccken betreffen Microsoft Exchange Server, nicht jedoch Exchange Online. Microsoft gibt folgende Versionen als betroffen an.<\/p>\n<ul>\n<li>Microsoft Exchange Server 2013<\/li>\n<li>Microsoft Exchange Server 2016<\/li>\n<li>Microsoft Exchange Server 2019<\/li>\n<\/ul>\n<p>Alle drei Versionen befinden sich noch im regul\u00e4ren Support. Microsoft hat den Supportbeitrag <a href=\"https:\/\/support.microsoft.com\/en-US\/topic\/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b\" target=\"_blank\" rel=\"noopener\">KB5000871<\/a> &#8211; Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: March 2, 2021 (KB5000871) &#8211; ver\u00f6ffentlicht. Dort finden sich auch Hinweise auf bekannte Probleme mit diesem Update, welches per Windows Update ausgerollt wird. Diese Updates stehen aber auch im <a href=\"http:\/\/www.catalog.update.microsoft.com\/Search.aspx?q=KB5000871\" target=\"_blank\" rel=\"noopener\">Microsoft Update Catalog<\/a> zum Download bereit. Zudem werden die Updates im KB-Artikel zum Download angeboten. Redmond r\u00e4t seinen Kunden dringend, ihre lokalen Systeme sofort zu aktualisieren.<\/p>\n<p>Microsoft schreibt, dass der Exchange Server 2010 f\u00fcr Defense in Depth Zwecke aber ebenfalls aktualisiert wird. Das Exchange-Team hat zudem <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-march-2021-exchange-server-security-updates\/ba-p\/2175901\" target=\"_blank\" rel=\"noopener\">diesen Techcommunity-Beitrag<\/a> zum Thema ver\u00f6ffentlicht, wo auch das Update f\u00fcr Exchange Server 2010 &#8211; <a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/description-of-the-security-update-for-microsoft-exchange-server-2010-service-pack-3-march-2-2021-kb5000978-894f27bf-281e-44f8-b9ba-dad705534459\" target=\"_blank\" rel=\"noopener\">Exchange Server 2010 (RU 31 for Service Pack 3 \u2013 this is a Defense in Depth update)<\/a> &#8211; zu finden ist. Der Beitrag enth\u00e4lt auch eine FAQ zu diversen Aspekten.<\/p>\n<p>Sicherheitsforscher Kevin Beaumont (GossiTheDog) weist auf <a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1366863377344126976\" target=\"_blank\" rel=\"noopener\">Twitter<\/a> auf ein Script zum Scannen der Exchange Server-Installationen auf Schwachstellen hin, welches er auf GitHub bereitstellt. Brian Krebs hat noch einige Informationen in <a href=\"https:\/\/krebsonsecurity.com\/2021\/03\/microsoft-chinese-cyberspies-used-4-exchange-server-flaws-to-plunder-emails\/\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> zusammen getragen. Die Angriffe wurden erst am 6. Januar 2021 durch die Sicherheitsfirma Veloxi entdeckt, was inzwischen in <a href=\"https:\/\/www.volexity.com\/blog\/2021\/03\/02\/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities\/\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> offen gelegt wurde.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/03\/exchange-server-0-day-exploits-werden-aktiv-ausgenutzt-patchen\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/06\/wichtige-hinweise-microsofts-und-des-bsi-zum-exchange-server-sicherheitsupdate-mrz-2021\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/05\/exchange-probleme-mit-ecp-nach-sicherheitsupdate-mrz-2021\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Exchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/07\/neues-zum-exchange-hack-testtools-von-microsoft-co\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Neues zum Exchange-Hack \u2013 Testtools von Microsoft &amp; Co.<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/08\/microsoft-msert-hilft-bei-exchange-server-scans\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Microsoft MSERT hilft bei Exchange-Server-Scans<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/09\/exchange-hack-neue-patches-und-neue-erkenntnisse\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Exchange-Hack: Neue Patches und neue Erkenntnisse<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/11\/anatomie-des-proxylogon-hafinum-exchange-server-hacks\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Anatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/11\/exchange-hack-neue-opfer-neue-patches-neue-angriffe\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/12\/neues-zur-proxylogon-hafnium-exchange-problematik-12-3-2021\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/13\/gab-es-beim-exchange-massenhack-ein-leck-bei-microsoft\/\" target=\"_blank\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Gab es beim Exchange-Massenhack ein Leck bei Microsoft?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/13\/proxylogon-hack-repository-fr-betroffene-exchange-administratoren\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">ProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Microsoft warnt: Es werden vier 0-day-Schwachstellen f\u00fcr gezielte Angriffe auf Exchange per Outlook Web App kombiniert. Administratoren von On-PremisesMicrosoft Exchange-Servern sollten dringen reagieren und die zum 2. M\u00e4rz 2021 freigegebenen Updates installieren. Auch f\u00fcr Exchange Server 2010 gibt es noch &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/03\/03\/exchange-server-0-day-exploits-werden-aktiv-ausgenutzt-patchen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,2557],"tags":[5359,4328,4315],"class_list":["post-250619","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows-server","tag-exchange","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/250619","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=250619"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/250619\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=250619"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=250619"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=250619"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}