{"id":259259,"date":"2021-11-10T09:38:29","date_gmt":"2021-11-10T08:38:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=259259"},"modified":"2024-07-21T08:46:10","modified_gmt":"2024-07-21T06:46:10","slug":"exchange-server-november-2021-sicherheitsupdates-schlieen-rce-schwachstelle-cve-2021-423","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/11\/10\/exchange-server-november-2021-sicherheitsupdates-schlieen-rce-schwachstelle-cve-2021-423\/","title":{"rendered":"Exchange Server November 2021 Sicherheitsupdates schlie&szlig;en RCE-Schwachstelle CVE-2021-42321"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline; border-width: 0px;\" title=\"Update\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Update-01.jpg\" alt=\"Update\" border=\"0\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/11\/10\/exchange-server-november-2021-sicherheitsupdates-schlieen-rce-schwachstelle-cve-2021-423\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]F\u00fcr Administratoren von Exchange Server 2013, 2016 und 2019 hat Microsoft zum 9. November 2021 die Sicherheitsupdates f\u00fcr den aktuellen Monat ver\u00f6ffentlicht. Relevant ist, dass vor allem eine Remote Code Execution (RCE) Schwachstelle CVE-2021-42321 geschlossen wird (wurde auf dem Tianfu 2021-Hacker-Contest ausgenutzt). Diese wird durch Angreifer bereits in freier Wildbahn &#8211; allerdings in beschr\u00e4nktem Ausma\u00df &#8211; ausgenutzt &#8211; die zeitnahe Installation der November 2021-Sicherheitsupdates ist also geboten.<\/p>\n<p><!--more--><\/p>\n<h2>Die Schwachstelle CVE-2021-42321<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/8ff717b231554ee4925091d71d977307\" alt=\"\" width=\"1\" height=\"1\" \/>Bei der Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-42321\" target=\"_blank\" rel=\"noopener\">CVE-2021-42321<\/a> handelt es sich um eine Remote Code Execution-L\u00fccke in Exchange Server 2016 und 2019, die auf dem Tianfu 2021 Cup bei einem Hack demonstriert wurde. Ich hatte Mitte Oktober 2021 im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/10\/17\/tifanu-cup-2021-exchange-2019-und-iphone-gehackt\/\">Tianfu Cup 2021: Exchange 2019 und iPhone gehackt<\/a> \u00fcber den Hackerwettbewerb berichtet. Details \u00fcber die Schwachstelle liegen mir nicht vor, nur soviel: Der Fehler besteht (laut <a href=\"https:\/\/de.tenable.com\/blog\/microsoft-s-november-2021-patch-tuesday-addresses-55-cves-cve-2021-42321?tns_redirect=true\">Tenable<\/a>) aufgrund der unsachgem\u00e4\u00dfen Validierung von Befehlszeilenargumenten (cmdlet). Die Ausnutzung erfordert, die Authentifizierung des Angreifers. Laut Microsoft wurde die Schwachstelle wohl in einigen F\u00e4llen ausgenutzt. <strong>Erg\u00e4nzung:<\/strong> In <a href=\"https:\/\/www.heise.de\/forum\/heise-online\/Kommentare\/Patchday-Microsoft-warnt-vor-Attacken-auf-Excel-und-Exchange\/Angriffe-seit-letztem-Montag\/thread-6914154\/\" target=\"_blank\" rel=\"noopener\">diesen heise-Kommentaren<\/a> haben sich Betroffene zu Wort gemeldet.<\/p>\n<h2>Die November 2021-Updates<\/h2>\n<p>Im Techcommunity-Beitrag <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-november-2021-exchange-server-security-updates\/ba-p\/2933169\" target=\"_blank\" rel=\"noopener\">Released: November 2021 Exchange Server Security Updates<\/a> hat Microsoft zum 9.11.2021 die Freigabe der Sicherheitsupdates zum Schlie\u00dfen von Schwachstellen f\u00fcr November 2021 bekannt gegeben. Es stehen folgende Updates bereit:<\/p>\n<ul>\n<li>Exchange Server 2013 <a href=\"https:\/\/www.microsoft.com\/en-us\/download\/details.aspx?id=103646\" target=\"_blank\" rel=\"noopener\">CU23<\/a><\/li>\n<li>Exchange Server 2016 CU21 and CU22<\/li>\n<li>Exchange Server 2019 CU10 and <a href=\"https:\/\/www.microsoft.com\/en-us\/download\/details.aspx?familyID=cd28ac6e-eb6f-4747-b9f0-24785b08a012\" target=\"_blank\" rel=\"noopener\">CU11<\/a><\/li>\n<\/ul>\n<p>Wie bereits erw\u00e4hnt, schreibt Microsoft, dass begrenzte gezielte Angriffe bekannt seien, bei denen eine der Schwachstellen (CVE-2021-42321) ausgenutzt wird. Es handelt sich um eine Post-Authentifizierungsschwachstelle in Exchange 2016 und 2019. Microsoft empfiehlt, diese Updates sofort zu installieren, um die On-Premises Exchange-Umgebung zu sch\u00fctzen.<\/p>\n<p>Im Techcommunity-Beitrag findet sich der Hinweis auf nachfolgenden PowerShell-Befehl, mit dem man pr\u00fcfen kann, ob ein Exploit vor der Patch-Installation auf den Exchange-Servern versucht wurde.<\/p>\n<pre>Get-EventLog -LogName Application -Source \"MSExchange Common\" -EntryType Error | Where-Object { $_.Message -like \"*BinaryFormatter.Deserialize*\" }<\/pre>\n<p>Gibt es einen Treffer im log, ist dies ein Hinweis auf eine Ausnutzung. Diese Schwachstellen betreffen On-Premises Microsoft Exchange Server, sowie Server, die von Kunden im Exchange Hybrid-Modus verwendet werden. Exchange Online-Kunden sind bereits gesch\u00fctzt und m\u00fcssen keine Ma\u00dfnahmen ergreifen.<\/p>\n<p>Bei einer manuellen Installation ist zu beachten, dass die .msp-Pakete aus einer administrativen Eingabeaufforderung aus gestartet werden. Andernfalls l\u00e4uft die Installation schief. F\u00fcr weitere Fragen (z.B. ob es auch Updates f\u00fcr \u00e4ltere CUs gibt, oder den Hinweis auf WSUS-Probleme beim CU f\u00fcr Exchange 2013), ist der Techcommunity-Beitrag zu konsultieren.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2021\/03\/03\/exchange-server-0-day-exploits-werden-aktiv-ausgenutzt-patchen\/\">Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/06\/wichtige-hinweise-microsofts-und-des-bsi-zum-exchange-server-sicherheitsupdate-mrz-2021\/\">Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/05\/exchange-probleme-mit-ecp-nach-sicherheitsupdate-mrz-2021\/\">Exchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/07\/neues-zum-exchange-hack-testtools-von-microsoft-co\/\">Neues zum Exchange-Hack \u2013 Testtools von Microsoft &amp; Co.<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/08\/microsoft-msert-hilft-bei-exchange-server-scans\/\">Microsoft MSERT hilft bei Exchange-Server-Scans<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/09\/exchange-hack-neue-patches-und-neue-erkenntnisse\/\">Exchange-Hack: Neue Patches und neue Erkenntnisse<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/11\/anatomie-des-proxylogon-hafinum-exchange-server-hacks\/\">Anatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/11\/exchange-hack-neue-opfer-neue-patches-neue-angriffe\/\">Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/12\/neues-zur-proxylogon-hafnium-exchange-problematik-12-3-2021\/\">Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/13\/gab-es-beim-exchange-massenhack-ein-leck-bei-microsoft\/\">Gab es beim Exchange-Massenhack ein Leck bei Microsoft?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/13\/proxylogon-hack-repository-fr-betroffene-exchange-administratoren\/\">ProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/16\/microsoft-exchange-on-premises-one-click-mitigation-tool-eomt-freigegeben\/\">Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/17\/exchange-server-2013-sicherheitsupdate-fr-service-pack-1\/\">Sicherheitsupdate f\u00fcr Exchange Server 2013 Service Pack 1 \u2013 Neue CUs f\u00fcr Exchange 2019 und 2016 (16.3.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/19\/microsoft-defender-schliet-automatisch-cve-2021-26855-auf-exchange-server\/\">Microsoft Defender schlie\u00dft automatisch CVE-2021-26855 auf Exchange Server<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/25\/exchange-proxylogon-news-patch-stand-neue-ransomware-etc-25-3-2021\/\">Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/01\/exchange-hack-wie-schaut-es-mit-dem-risiko-aus-was-gibt-es-neues-1-april-2021\/\">Neues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/09\/vorwarnung-0-day-schwachstellen-ist-das-nchste-exchange-drama-im-anrollen\/\">Vorwarnung: 0-Day-Schwachstellen, ist das n\u00e4chste Exchange-Drama im Anrollen?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/14\/sicherheitsupdates-fr-exchange-server-juli-2021\/\">Sicherheitsupdates f\u00fcr Exchange Server (Juli 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/06\/29\/kumulative-exchange-updates-juni-2021-verffentlicht\/\">Kumulative Exchange Updates Juni 2021 ver\u00f6ffentlicht<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/14\/exchange-server-security-update-kb5001779-13-april-2021\/\">Exchange Server Security Update KB5001779 (13. April 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/07\/exchange-schwachstellen-droht-hafnium-ii\/\">Exchange-Schwachstellen: Droht Hafnium II?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/10\/exchange-server-neues-zu-den-proxyshell-schwachstellen\/\">Exchange Server: Neues zu den ProxyShell-Schwachstellen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/13\/angriffe-auf-exchange-server-per-proxyshell-schwachstelle-rollen-an-13-8-2021\/\">Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/22\/angriffswelle-fast-2-000-exchange-server-ber-proxyshell-gehackt\/\">Angriffswelle, fast 2.000 Exchange-Server \u00fcber ProxyShell gehackt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/25\/proxyshell-proxylogon-und-microsofts-exchange-doku-fr-ausnahmen-vom-virenschutz\/\">ProxyShell, ProxyLogon und Microsofts Exchange-Doku f\u00fcr Ausnahmen vom Virenschutz<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/26\/exchange-und-proxyshell-neues-von-microsoft-und-sicherheitsspezialisten\/\">Exchange und ProxyShell: Neues von Microsoft und Sicherheitsspezialisten<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/10\/17\/tifanu-cup-2021-exchange-2019-und-iphone-gehackt\/\">Tianfu Cup 2021: Exchange 2019 und iPhone gehackt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/06\/babuk-gang-nutzt-proxyshell-schwachstelle-in-exchange-fr-ransomware-angriffe\/\">Babuk-Gang nutzt ProxyShell-Schwachstelle in Exchange f\u00fcr Ransomware-Angriffe<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]F\u00fcr Administratoren von Exchange Server 2013, 2016 und 2019 hat Microsoft zum 9. November 2021 die Sicherheitsupdates f\u00fcr den aktuellen Monat ver\u00f6ffentlicht. Relevant ist, dass vor allem eine Remote Code Execution (RCE) Schwachstelle CVE-2021-42321 geschlossen wird (wurde auf dem Tianfu &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/11\/10\/exchange-server-november-2021-sicherheitsupdates-schlieen-rce-schwachstelle-cve-2021-423\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,185],"tags":[5418,4328,4315],"class_list":["post-259259","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-update","tag-exchange-server","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259259","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=259259"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259259\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=259259"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=259259"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=259259"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}