{"id":250861,"date":"2021-03-09T13:58:06","date_gmt":"2021-03-09T12:58:06","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=250861"},"modified":"2021-03-13T17:36:02","modified_gmt":"2021-03-13T16:36:02","slug":"exchange-hack-neue-patches-und-neue-erkenntnisse","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/03\/09\/exchange-hack-neue-patches-und-neue-erkenntnisse\/","title":{"rendered":"Exchange-Hack: Neue Patches und neue Erkenntnisse"},"content":{"rendered":"

[English<\/a>]Microsoft hat die Nacht weitere Sonder-Updates f\u00fcr \u00e4ltere CUs von Microsoft Exchange Server (die bereits aus dem Support gefallen sind) herausgegeben – die auch unter WSUS auftauchen. Zudem kristallisiert sich heraus, wann die Angriffswellen liefen und ob was gegen den Hack gesch\u00fctzt hat, obwohl einige seit Monaten vier bekannte 0-day-Exploits bestanden. Ich fasse mal einige neue Informationen in diesem Beitrag zusammen.<\/p>\n

<\/p>\n

\"\"Der Massenhack der mutma\u00dflich chinesischen Hackergruppe Hafnium schickt ja Schockwellen durch das Microsoft Universum. Viele Administratoren und auch Microsoft scheinen auf dem falschen Fu\u00df erwischt worden zu sein. Noch scheint das Ende der Fahnenstange nicht erreicht.<\/p>\n

Neue Sonderupdates<\/h2>\n

Die Nacht ist eine Mail von Microsoft eingetroffen, in der auf neu freigegebene Sonderupdates f\u00fcr \u00e4ltere kumulative Exchange Server Updates, die aus dem Support gefallen sind, bereitstellt. Das betrifft Exchange Server 2016 CU 16, CU 15 und CU14 sowie Exchange Server 2019 CU 6, CU 5 und CU 4. Hier der Text der Benachrichtigung:<\/p>\n

******************************************************************
\nTitle: Microsoft Security Update Releases
\nIssued: March 8, 2021
\n******************************************************************<\/p>\n

Summary
\n=======<\/p>\n

The following CVEs have undergone a major revision increment:<\/p>\n

Critical CVEs
\n============================<\/p>\n

* CVE-2021-26855<\/a>
\n* CVE-2021-27065<\/a>
\n* CVE-2021-26857<\/a><\/p>\n

Important CVEs
\n============================<\/p>\n

* CVE-2021-26858<\/a><\/p>\n

Publication information
\n===========================<\/p>\n

– Microsoft Exchange Server Remote Code Execution Vulnerability
\n– See preceding list for links
\n– Version 2.0
\n– Reason for Revision: Microsoft is releasing security updates for CVE-2021-27065,
\nCVE-2021-26855, CVE-2021-26857, and CVE-2021-26858 for several Cumulative Updates
\nthat are out of support, including Exchange Server 2019 CU 6, CU 5, and CU 4 and
\nExchange Server 2016 CU 16, CU 15, and CU14. These updates address only those CVEs.
\nCustomers who want to be protected from these vulnerabilities can apply these
\nupdates if they are not on a supported cumulative update. Microsoft strongly
\nrecommends that customers update to the latest supported cumulative updates.
\n– Originally posted: March 2, 2021
\n– Updated: March 8, 2021<\/p>\n

Wenn meine Informationen stimmen, sollten diese Updates f\u00fcr die \u00e4lteren CUs auch unter WSUS zur Verteilung auftauchen. Kann dies jemand best\u00e4tigen? F\u00fcr Administratoren noch ein Link auf die Microsoft Seite Exchange Server \u2013 Buildnummern und Ver\u00f6ffentlichungstermine<\/a> mit einer Auflistung der Patches.<\/p>\n

Fragen und Antworten<\/h2>\n

Durch die Berichterstattung hier im Blog und auf meinen Artikel Cyberangriff auf Exchange Server der Europ\u00e4ischen Bankenaufsichtsbeh\u00f6rde<\/a> bei heise sind einige zus\u00e4tzliche Informationen angefallen und Fragen aufgekommen. Hier einige Sachen, die ich mal kurz zusammenziehe.<\/p>\n

Wann liefen die Angriffswellen<\/h3>\n

Es klingt gelegentlich in Kommentaren im Web durch, dass die Administratoren nicht rechtzeitig gepatcht h\u00e4tten, also selbst schuld seien, durch. Nach meinen Informationen greift die Schuldzuweisung an Administratoren und deren Patch-Management stellenweise etwas zu kurz.<\/p>\n

Stefan weist in diesem Kommentar<\/a> hier im Blog auf die Seite proxylogon.com<\/a>, die die Informationen zu den Schwachstellen und Angriffen enth\u00e4lt. Bei Proxylogon handelt es sich um die Schwachstelle CVE-2021-26855<\/a> in Exchange Server, die einem Angreifer erm\u00f6glicht, die Authentifizierung zu umgehen und sich als Administrator auszugeben. Die Sicherheitsforscher von DEVCORE haben diesen Fehler mit einer anderen Post-Auth-Schwachstelle CVE-2021-27065, die ein willk\u00fcrliches Schreiben von Dateien erm\u00f6glicht, kombiniert, um Codeausf\u00fchrung zu erreichen. Dadurch kann ein nicht authentifizierter Angreifer beliebige Befehle auf Microsoft Exchange Server \u00fcber einen ge\u00f6ffneten 443-Port ausf\u00fchren.<\/p>\n