{"id":252041,"date":"2021-04-09T15:10:15","date_gmt":"2021-04-09T13:10:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=252041"},"modified":"2021-04-11T08:09:33","modified_gmt":"2021-04-11T06:09:33","slug":"vorwarnung-0-day-schwachstellen-ist-das-nchste-exchange-drama-im-anrollen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/09\/vorwarnung-0-day-schwachstellen-ist-das-nchste-exchange-drama-im-anrollen\/","title":{"rendered":"Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?"},"content":{"rendered":"

[English<\/a>]Ok, ich glaube, ich habe mit der Headline eure Aufmerksamkeit. M\u00f6glicherweise kommen n\u00e4chsten Dienstag mal wieder Updates f\u00fcr Exchange Server. Warum? Weil auf der Hackerkonferenz Pwd2Own (6.-8.4-2021) gleich drei Exchange Exploits vorgestellt wurden. M\u00f6glicherweise w\u00e4re es eine gute Idee, \u00fcber das Wochenende sicherzustellen, dass die Exchange Server auf dem aktuellen Patchstand sind, um im Fall der F\u00e4lle zeitnah mit Updates loslegen zu k\u00f6nnen.<\/p>\n

<\/p>\n

\"\"Frank Carius hat mich heute dankenswerterweise per E-Mail kontaktiert und auf seine Zusammenfassung hier<\/a> hingewiesen. Frank ist ja im Exchange-Umfeld aktiv und hat das Thema Sicherheit im Blick. Daher sind ihm entsprechende Meldungen nat\u00fcrlich sofort ins Auge gesprungen. Erg\u00e4nzung: Im Buschfunk habe ich vernommen, dass Abonnenten irgend eines E(xx)-Plans von Microsoft bereits letzten Donnerstag vorab Informationen zum Patchday bekommen haben. Es soll was zu Exchange drin stehen, was man lesen solle, h\u00f6re ich (steht aber wohl alles unter NDA).<\/p>\n

Exchange Exploits auf Zero Day Initiative<\/h2>\n

Auf der Webseite der Zero Day Initiative (ZDI)<\/a> werden die Hacks im Rahmen des Pwn2Own 2021 vorgestellt. Und da springen einem sofort einige Fundstellen ins Auge, wenn man nach Exchange sucht:<\/p>\n

DEVCORE targeting Microsoft Exchange in the Server category<\/p>\n

SUCCESS<\/b> – The DEVCORE team combined an authentication bypass and a local privilege escalation to complete take over the Exchange server. They earn $200,000 and 20 Master of Pwn points.<\/p><\/blockquote>\n

Offenbar ist es dem DEVCORE-Team gelungen, eine Authentifizierungs-Bypass-Schwachstelle samt local privilege escalation auszunutzen und 200.000 US-Dollar an Pr\u00e4mie zu kassieren. Die H\u00f6he der Pr\u00e4mie sowie die Schl\u00fcsselw\u00f6rter zur Sicherheitsl\u00fccke lassen aufhorchen – da erinnert einiges an den HAFNIUM-Fall von Anfang M\u00e4rz 2020 – und DEVCORE war an der Entdeckung dieser Schwachstelle beteiligt (siehe Anatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a>). Bei der nachfolgend gemeldeten zweiten Schwachstelle war das Team VETTEL nur teilweise erfolgreich.<\/p>\n

Team Viettel targeting Microsoft Exchange in the Server category<\/p>\n

PARTIAL<\/b> – Team Viettel successfully demonstrated their code execution on the Exchange server, but some of the bugs they used in their exploit chain had been previously reported in the contest. This counts as a partial win but does get them 7.5 Master of Pwn points.<\/p><\/blockquote>\n

Hier lese ich heraus, dass die bekannte Schwachstellen aus dem Wettbewerb genutzt haben, weshalb es keine Pr\u00e4mie gab. In nachfolgender Meldung hat Steven Seeley wohl teilweise Erfolg gehabt.<\/p>\n

Steven Seeley of Source Incite targeting Microsoft Exchange in the Server category<\/p>\n

PARTIAL<\/b> – Although Steven did use two unique bugs in his demonstration, this attempt was a partial win due to the Man-in-the-Middle aspect of the exploit. It's still great research though, and he earns 7.5 Master of Pwn points.<\/p><\/blockquote>\n

Von Microsoft ist in der Sache nichts zu vernehmen, aber der erste DEVCORE-Angriff w\u00fcrde mich als Exchange-Administrator schon hibbelig machen. Frank Carius hat sich die M\u00fche gemacht, die teilweise verlinkten YouTube-Videos anzusehen und verweist auf dieses Video<\/a>. Dort gibt es den Hinweis auf den \"Patch Tuesday\", bei dem Exchange Updates mit Credits zu Steven Seeley erscheinen sollten. Z\u00e4hlt man 1+1 zusammen, ist es nicht g\u00e4nzlich unwahrscheinlich, dass am 13.4.2021 entsprechende Updates f\u00fcr Exchange 2013 bis 2019 bereitgestellt werden k\u00f6nnten.<\/p>\n

Bringt den Patch-Stand auf Vordermann!<\/h2>\n

Frank weist in diesem Zusammenhang auf folgendes hin: In vielen Firmen laufen Exchange Server noch auf alten Patchst\u00e4nden. Beim M\u00e4rz 2021-Vorfall war es ja so, dass die Administratoren kalt erwischt wurden und keine au\u00dferplanm\u00e4\u00dfigen Updates f\u00fcr \u00e4ltere Exchange CUs bereitstanden. Erst als die Massenhacks durch Hafnium allzu deutlich wurden, tr\u00f6pfelten von Microsoft auch Sonderupdates f\u00fcr \u00e4ltere CUs ein.<\/p>\n

Da CUs im 3-Monats-Abstand ver\u00f6ffentlicht werden, und vielleicht nur ein Sicherheitsupdate f\u00fcr das aktuelle CU freigegeben wird, w\u00e4ren alle Exchange Server mit \u00e4lteren Patch-St\u00e4nden au\u00dfen vor. Wenn dann eine Schwachstelle mit Hafnium-Potential samt Exploit \u00f6ffentlich wird, bleibt Exchange Administratoren eventuell wenig Zeit zum Patchen – und es \"brennt wieder die H\u00fctte\". Noch habt ihr ein Wochenende Zeit, da abzukl\u00e4ren, wie es ausschaut. Falls ich eure Aufmerksamkeit geweckt haben sollte, bei Frank Carius finden sich noch einige detailliertere Einsch\u00e4tzungen<\/a> zum Thema.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nExchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a>
\nWichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nExchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nNeues zum Exchange-Hack \u2013 Testtools von Microsoft & Co.<\/a>
\nMicrosoft MSERT hilft bei Exchange-Server-Scans<\/a>
\nExchange-Hack: Neue Patches und neue Erkenntnisse<\/a>
\nAnatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a>
\nExchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a>
\nNeues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)<\/a>
\nGab es beim Exchange-Massenhack ein Leck bei Microsoft?<\/a>
\nProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a>
\nMicrosoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben<\/a>
\nSicherheitsupdate f\u00fcr Exchange Server 2013 Service Pack 1 \u2013 Neue CUs f\u00fcr Exchange 2019 und 2016 (16.3.2021)<\/a>
\nMicrosoft Defender schlie\u00dft automatisch CVE-2021-26855 auf Exchange Server<\/a>
\nExchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)<\/a>
\nNeues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ok, ich glaube, ich habe mit der Headline eure Aufmerksamkeit. M\u00f6glicherweise kommen n\u00e4chsten Dienstag mal wieder Updates f\u00fcr Exchange Server. Warum? Weil auf der Hackerkonferenz Pwd2Own (6.-8.4-2021) gleich drei Exchange Exploits vorgestellt wurden. M\u00f6glicherweise w\u00e4re es eine gute Idee, \u00fcber … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[5359,4328,4315],"class_list":["post-252041","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-exchange","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252041","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=252041"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252041\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=252041"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=252041"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=252041"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}