{"id":250965,"date":"2021-03-12T12:19:45","date_gmt":"2021-03-12T11:19:45","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=250965"},"modified":"2024-02-11T19:00:54","modified_gmt":"2024-02-11T18:00:54","slug":"neues-zur-proxylogon-hafnium-exchange-problematik-12-3-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/03\/12\/neues-zur-proxylogon-hafnium-exchange-problematik-12-3-2021\/","title":{"rendered":"Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)"},"content":{"rendered":"

[English<\/a>]Das Thema Exchange-Massenhack durch die Hafnium-Gruppe sowie die Problematik um die ProxyLogon-Schwachstellen l\u00e4sst uns nicht vom Haken. Zum Wochenabschluss noch ein schneller Rundumschlag: Es gibt von Microsoft Revisionen zum Thema (der letzte Satz an Updates f\u00fcr nicht mehr unterst\u00fctzte CUs auf Exchange Server ist freigegeben), es gibt \u00f6ffentlich verf\u00fcgbare Proof of Concept (PoC) Beispiele, und der \"Beipackzettel\" f\u00fcr das Microsoft Support Emergency Response Tool (MSERT) wird immer l\u00e4nger.<\/p>\n

<\/p>\n

Revision der Exchange Sicherheitshinweise<\/h2>\n

\"\"Die Nacht ist bei mir eine Benachrichtigung zu Revisionen der Sicherheitshinweise zu Microsoft Exchange eingetroffen. Ich stelle die Information einfach zur Kenntnisnahme hier ein.<\/p>\n

********************************************************
\nTitle: Microsoft Security Update Releases
\nIssued: March 11, 2021
\n********************************************************<\/p>\n

Summary
\n=======<\/p>\n

The following CVE and advisory have undergone a revision increments:<\/p>\n

Critical CVEs
\n============================<\/p>\n

* CVE-2021-26855<\/a>
\n* CVE-2021-27065<\/a>
\n* CVE-2021-26857<\/a><\/p>\n

Important CVEs
\n============================<\/p>\n

*\u00a0 CVE-2021-26858<\/a><\/p>\n

Publication information
\n===========================<\/p>\n

– Microsoft Exchange Server Remote Code Execution Vulnerability
\n– See preceding list for links
\n– Version 4.0
\n– Reason for Revision: Microsoft is releasing the final set of security updates for
\nCVE-2021-27065, CVE-2021-26855, CVE-2021-26857, and CVE-2021-26858 for several
\nCumulative Updates that are out of support, including Exchange Server 2019, CU1
\nand CU2; and Exchange Server 2016 CU 8, CU 9, CU10, and CU11. These updates address
\nonly those CVEs. Customers who want to be protected from these vulnerabilities can
\napply these updates if they are not Exchange Server on a supported cumulative update.
\nMicrosoft strongly recommends that customers update to the latest supported cumulative
\nupdates.
\n– Originally posted: March 2, 2021
\n– Updated: March 11, 2021<\/p>\n

Microsoft hat also den letzten Satz von Sicherheitsupdates f\u00fcr die Schwachstellen CVE-2021-27065, CVE-2021-26855, CVE-2021-26857 und CVE-2021-26858 f\u00fcr mehrere kumulative Updates (CU) f\u00fcr Exchange Server, die nicht mehr unterst\u00fctzt werden, ver\u00f6ffentlicht. Das umfasst Exchange Server 2019, CU1 und CU2 sowie Exchange Server 2016 CU 8, CU 9, CU10 und CU11.<\/p>\n

Etwas off-topic: Microsoft hat unter ADV990001<\/a> die Informationen zu einigen SSUs entfernt, da diese inzwischen in den kumulativen Updates f\u00fcr Windows 10 2004\/20H2 sowie die Server-Pendants integriert wurden.<\/p><\/blockquote>\n

PoC verf\u00fcgbar, Angriffswelle zu erwarten<\/h2>\n

Ich hatte ja bereits im Blog-Beitrag Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a> darauf hingewiesen, dass mindestens zehn Bedrohungsakteure ungepatchte Exchange-Systeme, die per Internet (Port 443) erreichbar sind, angreifen. Das d\u00fcrfte jetzt noch zunehmen, denn die Nacht ist mir auf Twitter der nachfolgende Tweet<\/a> untergekommen.<\/p>\n

\"<\/a><\/p>\n

Ein Sicherheitsforscher hat auf der Microsoft Plattform GitHub sein Proof of Concept (PoC) f\u00fcr die Exchange-Schwachstellen ver\u00f6ffentlicht (das ist wohlgemerkt kein funktionierender Exploit). Vice hat es hier aufbereitet<\/a>: Microsoft hat sofort den Code aus dem GitHub-Repository gel\u00f6scht. Sicherheitsforscher Nguyen Jang gibt an, das Ganze von einem funktionierenden Exploit abgeleitet zu haben. Die Schockwellen, die die ProxyLogon-Schwachstellen im Microsoft Exchange-Eco-System hinterlassen, werden in den kommenden Wochen zunehmen. Mein Redakteur J\u00fcrgen Schmidt hat es gerade bei heise im Artikel Exchange-L\u00fccken: Jetzt kommt die Cybercrime-Welle mit Erpressung<\/a> angedeutet. Dazu passt auch der frische Tweet<\/a> aus der Microsoft-Schmiede, wo deren Security Intelligence-Gruppe Alarm schl\u00e4gt.<\/p>\n

\"Exchange-Ransomware-Familie\"<\/a><\/p>\n

Microsoft hat gerade die erste Ransomware-Familie gefunden, die die Schwachstellen auf ungepatchten Exchange Servern ausnutzt. Die betreffende Ransomware-Familie l\u00e4uft unter dem namen Win32\/DoejoCrypt.A – oder kurz und passend \"DearCry\" und wird von Microsofts Antivirus-Tools blockiert. Beim Namen DearCry gingen mir zwei Sachen durch den Kopf: \"Ja, es werden noch viele Tr\u00e4nen flie\u00dfen, my dear\" – und \"schon doof, dass die das Blockieren, sollen die Angreifer doch zuschlagen, dann bekommen die Leute wenigstens mit, dass sich auf einer Kiste mit ungepatchten Schwachstellen sitzen\". Mit letzterem Gedanken w\u00e4re das Problem, dass das BSI die Leute anschreibt und niemand reagiert, elegant erledigt. Da es aber g\u00e4nzlich unchristliche Gedanken sind, behalte ich die einfach mal f\u00fcr mich und beobachte interessiert, welche Blog-Themen mich demn\u00e4chst so anspringen.<\/p>\n

Erg\u00e4nzung:<\/strong> Arstechnica listet in diesem Artikel<\/a> inzwischen sechs Gruppen auf, die die ungepatchten Schwachstellen auf Exchange Servern angreifen. Da stehen sich die Hacker gegenseitig auf den F\u00fc\u00dfen oder sperren sich gegenseitig aus.<\/p>\n

Ich t\u00e4te ja Exchange gerne patchen<\/h2>\n

Im Blog-Beitrag Anatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a> hatte ich ja angedeutet, dass ich die gesamte Exchange-Geschichte f\u00fcr schwierig im Hinblick auf das Patchen halte (ist mein Eindruck aus Beobachtungen). Speziell mein heise-Artikel zum Thema hat ein sehr breites Spektrum an Leserreaktionen (von sinnbildlich \"Hornochse\" und \"Rant eines Wutb\u00fcrgers\" bis zu \"kann ich voll unterschreiben\") provoziert. Ich sitze hier auf meinem B\u00fcrostuhl und lese die meisten Kommentare mit diebischer Freude.<\/p>\n

Auch Microsoft hat mich kontaktiert und auf einige Sachverhalte hingewiesen (sinnvolles Feedback), die ich in obigem Blog-Beitrag erg\u00e4nzt habe. Bei einigen R\u00fcckmeldungen erkennst Du \"wow, da steckt ein Praktiker dahinter\", und gehst sofort dem Thema nach. Einiges muss ich noch sortieren, manches habe ich im erw\u00e4hnten Nachtrag im Blog-Beitrag Anatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a> schon angedeutet. So ganz daneben lag ich mit meinem Bauchgef\u00fchl zum Exchange-Patchen wohl nicht.<\/p>\n

\"Microsofts<\/a><\/p>\n

Im Rahmen der obigen Security-Warnung ist mir der vorhergehende Tweet<\/a> unter die Augen gekommen.\u00a0 Die Botschaft: Der Microsoft Defender erkennt und sch\u00fctzt vor der neuen Ransomware-Familie. Gleichzeitig verlinkt Microsoft auf den Techcommunity-Artikel March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server<\/a>, in dem das Exchange-Team Hilfestellung zum Patchen von Systemen gibt, die noch auf \u00e4lteren Cumulative Update-St\u00e4nden sind.\u00a0 Interessent sind f\u00fcr euch Exchange-Administratoren die Leserkommentare, die teilweise auch hier im Blog aufschlagen.<\/p>\n

Ich habe nat\u00fcrlich sofort gescrollt, ob ich was zur .NET Framework-Problematik finde – und Yess, Blog-Leser Karl ist mit diesem Kommentar<\/a> aufgeschlagen. Und Blog-Leser Jens H. ist mit zwei Mails bei mir aufgeschlagen, die ich einfach mal einstelle:<\/p>\n

Etwas in Zusammenhang mit den aktuellen Exchange-Aktivit\u00e4ten und da Sie Hinweise auf Fehlerquellen in Bezug auf die Updates sammeln: Wir hatten leider einen kompromittierten Kunden-Server, Exchange 2016 CU18. Dem hatte ich noch am Abend des 3. M\u00e4rz das passende Sicherheitsupdate verpasst, der Server war da leider bereits schon angegriffen worden. Das tut aber f\u00fcr das Folgende vermutlich nichts zur Sache:<\/p>\n

Ich habe dann, nachdem wir den Server untersucht und nach bestem Wissen und Gewissen ges\u00e4ubert hatten (immer wieder die aktualisierten Hinweise gepr\u00fcft\/ auch in den Folgetagen und den https-Port dicht gemacht), gestern Abend den Exchange noch auf CU19 aktualisieren wollen. Das hatte auch soweit geklappt, Unified Messaging wieder deaktiviert und neu gestartet. System lief nach Neustart, Virenscanner (Defender) noch deaktiviert, da ich danach noch einmal den passenden Securitypatch f\u00fcr CU19 aufspielen wollte.<\/p>\n

Das ging leider schief: Das Update begann, die Dienste wurden gro\u00dffl\u00e4chig deaktiviert und mittendrin die Fehlermeldung, dass das Update abgebrochen h\u00e4tte (\u201eprematurely ended\", mit Fehler 1603). Auch ein neuer Versuch brachte keinen Erfolg, der Exchange war \u201etot\". Da es schon 2.00 Uhr nachts war, habe ich mich entschieden, den (virtuellen) Server herunterzufahren, eine Imagesicherung der Festplatten einzuspielen und damit das System zun\u00e4chst weiter zu betreiben, bis ich Klarheit habe, ob der erneute Patch \u00fcberhaupt notwendig ist oder ob der nicht mehr gebraucht wird (was ich eigentlich nicht glaube, da der CU19 ja ein neu installierter Exchange ist).<\/p>\n

Was mich noch \u00fcberrascht hat: Der Exchange soll jetzt ein CU19 sein laut Build-Nummer, das ist er aber definitiv nicht \u2013 vermutlich steht das irgendwo im AD. Hier fehlt mir das Wissen.<\/p><\/blockquote>\n

Und weiter ging es in einer Folgemail:<\/p>\n

Ich habe den (virtuellen) Server nun gestern Abend auf CU19 gebracht \u2013 mich aber noch nicht getraut, dass System erneut mit dem SU zu patchen. Eventuell mache ich das am Wochenende.<\/p>\n

Leider gibt es f\u00fcr mein Vorgehen vom Exchange-Team keine Handlungsanweisung (zumindest gestern Abend). Und ich traue der Sache \u201eeinmal gepatched gilt immer\" nicht.<\/p><\/blockquote>\n

Jens hat mir noch den Techcommunity-Artikel<\/a> verlinkt, der f\u00fcr ihn aber wohl nicht passte, wie der obige letzte Satz suggeriert. Jens wollte sich melden, wenn er ein Ergebnis hat. Hier die Meldung:<\/p>\n

gerade lese ich den Text auf der verlinkten Seite nochmal:<\/p>\n