{"id":251202,"date":"2021-03-19T00:17:04","date_gmt":"2021-03-18T23:17:04","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=251202"},"modified":"2021-03-19T00:48:12","modified_gmt":"2021-03-18T23:48:12","slug":"microsoft-defender-schliet-automatisch-cve-2021-26855-auf-exchange-server","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/03\/19\/microsoft-defender-schliet-automatisch-cve-2021-26855-auf-exchange-server\/","title":{"rendered":"Microsoft Defender schließt automatisch CVE-2021-26855 auf Exchange Server"},"content":{"rendered":"

[English<\/a>]Microsoft leitet den n\u00e4chsten Schritt in Sachen Absicherung von On-Premises Exchange-Installationen ein. Der Microsoft Defender erkennt nicht nur Infektionen eines Systems als Folge der ProxyLogon-Schwachstellen. Der Virenscanner kann ein angreifbares System auch automatisch erkennen und schlie\u00dft die Schwachstelle CVE-2021-26855 auf Exchange Server.<\/p>\n

<\/p>\n

Hundertausende Exchange-Server mit Schwachstellen<\/h2>\n

\"\"Anfang M\u00e4rz 2021 wurde ja bekannt, dass es in den On-Premises Exchange Server-Versionen 2013 – 1019 vier Schwachstellen gab, die eine Kompromittierung der Installation mit \u00dcbernahme erm\u00f6glichen. Und es war der mutma\u00dflich staatsnahen chinesischen Hackergruppe Hafnium gelungen, diese Schwachstellen monatelang in On-Premise Exchange Servern zum Eindringen zu verwenden. Die Schwachstelle wurde erst am 2. M\u00e4rz 2021 durch Sicherheitsupdates geschlossen. Ich hatte in diversen Blog-Beitr\u00e4gen dar\u00fcber berichtet (siehe Artikelende).<\/p>\n

Ziel der Angreifer war es, Kontrolle \u00fcber die E-Mails der Opfer zu bekommen und m\u00f6glicherweise \u00fcber die Active Directory-Berechtigungen auf deren Netzwerk-Infrastruktur zuzugreifen und sich dort einzunisten. Administratoren waren weltweit damit besch\u00e4ftigt, die per Internet \u00fcber Port 443 erreichbaren und angreifbaren Exchange Server abzusichern. Seit Ende Februar 2021 laufen Massenscans, um angreifbare Exchange Server zu kompromittieren und eine Webshell als Backdoor zu installieren. Sicherheitsanbieter identifizierten 170.000 bis 280.000 potentiell angreifbare Exchange-Instanzen.<\/p>\n

Microsoft hat zwar Tools zum Erkennen infizierter Exchange-Systeme freigegeben. Zudem wurden9.000 Exchange-Server in den letzten zwei Wochen in Deutschland offline genommen bzw. der Zugriff auf OWA aus dem Internet wurde unterbunden. Allerdings sind noch ca. 12.000 von 56.000 Exchange-Servern mit offenem OWA in Deutschland f\u00fcr ProxyLogon verwundbar. Inzwischen zielen auch Cyber-Kriminelle und mindestens zehn Bedrohungsakteure darauf ab, verwundbare Exchange Systeme \u00fcber die Sicherheitsl\u00fccken anzugreifen und mit Ransomware oder Crypto-Minern zu infizieren.<\/p>\n

Microsoft hat zwar PowerShell-Scripte und Tools ver\u00f6ffentlicht, um Infektionen auf Exchange Servern zu erkennen (siehe Links am Artikelende) und auch zu beheben (Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben<\/a>). Das reicht aber wohl nicht aus, um die Exchange Server-Instanzen schnell in den Griff zu bekommen.<\/p>\n

Microsoft Defender h\u00e4rtet Exchange-Installationen<\/h2>\n

Da Cyberkriminelle weiterhin ungepatchte On-Premises-Versionen von Exchange Server 2013, 2016 und 2019 ausnutzen, arbeitet Microsoft aktiv mit Kunden und Partnern zusammen, um diese bei der Absicherung von Exchange Server-Systemen zu unterst\u00fctzen. Neben Sicherheitsupdates und dem Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) <\/a>konnte der Windows Defender bereits bestimmte Schadsoftware erkennen.<\/p>\n

\"Microsoft<\/p>\n

Gerade hat Microsoft angek\u00fcndigt, dass sowohl der Microsoft Defender als auch System Center Endpoint Protection so erweitert wurden, dass diese automatisch die Schwachstelle CVE-2021-26855 in ungepatchten Instanzen von Exchange-Server 2013-2019 entsch\u00e4rft. Mit dem neuesten Security Intelligence Update entsch\u00e4rfen Microsoft Defender Antivirus und System Center Endpoint Protection automatisch die Sicherheitsl\u00fccke CVE-2021-26855 auf allen anf\u00e4lligen Exchange-Servern.<\/p>\n

Es ist lediglich erforderlich, dass eines der genannten Virenschutzprogramme auf dem Exchange Server installiert ist. Anwender Kunden m\u00fcssen nichts weiter unternehmen, als sicherzustellen, dass sie das neueste Security Intelligence Update (Build 1.333.747.0 oder neuer) installiert haben. Sofern automatische Updates aktiviert sind, kommt diese neue Build automatisch.<\/p>\n

Bei einem Scan wird die Schwachstelle CVE-2021-26855 entsch\u00e4rft. Weiterhin wird der Server einem Scan unterzogen und m\u00f6glicherweise gefundene Manipulationen bekannter Angreifer werden dann r\u00fcckg\u00e4ngig gemacht. Diese vorl\u00e4ufige Abschw\u00e4chung soll Kunden helfen, sich zu sch\u00fctzen, und Zeit zu geben, das neueste kumulative Exchange-Update f\u00fcr ihre Version zu installieren. Weitere Details lassen sich in diesem Microsoft Blog-Beitrag<\/a> nachlesen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nExchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a>
\nWichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nExchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nNeues zum Exchange-Hack \u2013 Testtools von Microsoft & Co.<\/a>
\nMicrosoft MSERT hilft bei Exchange-Server-Scans<\/a>
\nExchange-Hack: Neue Patches und neue Erkenntnisse<\/a>
\nAnatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a>
\nExchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a>
\nNeues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)<\/a>
\nGab es beim Exchange-Massenhack ein Leck bei Microsoft?<\/a>
\nProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a>
\nMicrosoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben<\/a>
\nSicherheitsupdate f\u00fcr Exchange Server 2013 Service Pack 1 \u2013 Neue CUs f\u00fcr Exchange 2019 und 2016 (16.3.2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft leitet den n\u00e4chsten Schritt in Sachen Absicherung von On-Premises Exchange-Installationen ein. Der Microsoft Defender erkennt nicht nur Infektionen eines Systems als Folge der ProxyLogon-Schwachstellen. Der Virenscanner kann ein angreifbares System auch automatisch erkennen und schlie\u00dft die Schwachstelle CVE-2021-26855 auf … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161,2557],"tags":[2699,5418,4313],"class_list":["post-251202","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","category-windows-server","tag-defender","tag-exchange-server","tag-virenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251202","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=251202"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251202\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=251202"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=251202"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=251202"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}