Es gibt wohl bereits einen Exploit, was bedeutet, dass die Systeme konkret über das Internet angreifbar sind. Das BSI spricht hier von dringendem Handlungsbedarf.
Das ist ja nicht die erste Schwachstelle, allerdings wird es immer dann kritisch, wenn es Exploits gibt, die eine Sicherheitslücke auch ausnutzen können.
Also, liebe Administratoren in den Kanzleien: Bitte zügig Patches aufspielen!
In der Community Gruppe IT-Administratoren hat @Guenter_Stettner das ebenfalls bereits gepostet 👍. Worum es genau geht (weil beim E im Threadtitel Schluss ist):
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
@marco_keuthen schrieb:
Also, liebe Administratoren in den Kanzleien: Bitte zügig Patches aufspielen!
Sollte min. 1x im Monat sowieso zum täglichen Brot gehören 😉.
@marco_keuthen schrieb:Es gibt wohl bereits einen Exploit, was bedeutet, dass die Systeme konkret über das Internet angreifbar sind. Das BSI spricht hier von dringendem Handlungsbedarf.
Nicht nur "wohl" sondern mit Sicherheit. Ist seit dem 2.3.2021 bekannt. Wer da noch nicht gehandelt hat, macht irgendetwas definitiv falsch.
Mit dem Aufspielen der Patches ist es nicht getan.
Man sollte danach unbedingt überprüfen, ob der Exchangeserver nicht bereits kompromittiert wurde.
Mit dem aktuellen Safety Scanner von MS kann man seinen Exchangeserver überprüfen.
Die Prüfung dauert lange und generiert eine sehr hohe CPU-Last, die Anwender werden sich also beschweren, dass das Outlook "spinnt".
Moin,
mal eine doofe Frage: Wer ist denn so <bleep> (gescheit) und hängt seinen Exchange direkt an die heiße Leitung, sodass ein Exchange auch direkt angegriffen werden könnte?
Mit den Updates, klar, monatliche Übung...
Beste Grüße
Christian Ockenfels
Scheinbar sind viele so "bleep", selbst Bundesbehörden und die Bankenaufsicht der EU wurde erfolgreich angegriffen.
Nach dem Update ist vor dem Update und zwischen den Updates ist man auch nicht zu 100% auf der sicheren Seite.
Exchange-Hack: Neue Patches und neue Erkenntnisse Hat ja seine Gründe, warum DATEV beim hosted Exchange kein OWA anbietet und nur per VPN Mails auf mobile Geräte synchronisiert werden 😉.
@RedMustang schrieb:
Nach dem Update ist vor dem Update und zwischen den Updates ist man auch nicht zu 100% auf der sicheren Seite.
Tja, Katz und Maus - die werden uns auf immer und ewig begleiten.
Spiele gerade die März Windows Updates ebenfalls noch ein.
... wollte ebenfalls einen alten, aber noch im Privatbereich genutzten Exchangeserver 2010 mit dem Sicherheitsupdate versorgen und mit dem MS Tool checken, werde aber für diese alte Version "Exchangeserver 2010" nicht fündig (siehe Screenshots).
... muss ich woanders suchen ?
... in den Windows Updates wurde mir (bisher) noch nichts Passendes angeboten
... vielleicht kommt ja noch was, nachdem andere Updates installiert sind
... und ist das Script "Test-ProxyLogon.ps1" das Richtige ?
@vogtsburger schrieb:
... muss ich woanders suchen ?
Der Exchange Server 2010 ist eigentlich aus dem Support raus. Aber:
Microsoft schreibt, dass der Exchange Server 2010 für Defense in Depth Zwecke aber ebenfalls aktualisiert wird. Das Exchange-Team hat zudem diesen Techcommunity-Beitrag zum Thema veröffentlicht, wo auch das Update für Exchange Server 2010 – Exchange Server 2010 (RU 31 for Service Pack 3 – this is a Defense in Depth update) – zu finden ist.
@vogtsburger schrieb:
... und ist das Script "Test-ProxyLogon.ps1" das Richtige ?
Jap, ist es. Ob das bei Exchange Server 2010, der EOL ist, auch funktioniert, kann ich nicht sagen. Das ist unter anderem der Grund, warum man nur vom Hersteller unterstützte Software einsetzen sollte.
@vogtsburger schrieb:
... wollte ebenfalls einen alten, aber noch im Privatbereich genutzten Exchangeserver 2010 mit dem Sicherheitsupdate versorgen und mit dem MS Tool checken, werde aber für diese alte Version "Exchangeserver 2010" nicht fündig
... muss ich woanders suchen ?
... in den Windows Updates wurde mir (bisher) noch nichts Passendes angeboten
... vielleicht kommt ja noch was, nachdem andere Updates installiert sind
... und ist das Script "Test-ProxyLogon.ps1" das Richtige ?
Wie man dem aktuellen MSRC Announcement entnehmen kann, ist Exchange 2010 weder von CVE 2021-26412 noch von CVE 2021-27078 betroffen sondern nur von CVE 2021-26857. Hierfür gibt es auch einen Patch.
Ich würde aufgrund des Alters nicht davon ausgehen, dass das PowerShell Script läuft. Daher bleibt wohl nur die manuelle Prüfung des Event Logs.
Für eine Reaktion ziemlich spät.
Danke für die Feedbacks @MBehrens und @metalposaunist
... habe vielleicht doch was gefunden
... ja, das Script wollte nicht laufen, deshalb habe ich nachgefragt
Nachtrag:
... das Update Rollup 32 war friedlicher als erwartet.
... was mich aber jetzt noch umtreibt:
muss ich jetzt im EventLog manuell nach Einträgen suchen, die das o.g. PowerShell-Script scriptgesteuert suchen würde oder gäbe es auch alternative Sicherheitschecks ?
... auch auf einem privat genutzten LAN will man 'die Fenster und Türen geschlossen halten'
... ich nehme an, dass man durch das 'sinnerfassende Lesen' [(c) @wielgoß] des Powershell-Scripts auch Erkenntnisse gewinnt, wo dieser Exploit Spuren hinterlässt.
Nachtrag:
... vielleicht sucht der
Microsoft Safety Scanner (MSERT)
auch (schon) nach den Spuren dieses Exploits
Der heise Artikel gefällt mir: Analyse: Exchange und die Cyber-Abschreckungsspirale
Wir sehen hier gerade einen internationalen Schwanzvergleich der Militärs im Cyberspace, der einem Angst und Bange machen kann. Was kommt als Nächstes? Amerikanische APT-Angreifer, die ganz offen die Kontrolle über das russische Stromnetz übernehmen, um zu zeigen, dass sie da mehr als mithalten können? Iraner, die zur Abschreckung ein Atomkraftwerk hochgehen lassen? Und wie beenden wir diese Spirale in den Cyberwar? Ich muss gestehen, dass ich da gerade ziemlich ratlos bin. Ich fürchte, dass es da keine rein technische Antwort gibt, sondern die Politik ran muss. Und das macht mir noch mehr Angst.
True!
@Guenter_Stettner: Wie kann uns hier die DATEV weiter unterstützen? Ist da was in Planung? Wie können die IT Verantwortlichen von der Genossenschaft profitieren?
Geht DATEV auf die Genossen nochmals zu mit dem Hinweis, dass Updates überlebenswichtig sind und es dabei weniger auf das Entgelt der Dienstleistung ankommen sollte?
Laut MS tut er das seit dem 6.3.
@vogtsburger schrieb:
... wollte ebenfalls einen alten, aber noch im Privatbereich genutzten Exchangeserver 2010 mit dem Sicherheitsupdate versorgen und mit dem MS Tool checken, werde aber für diese alte Version "Exchangeserver 2010" nicht fündig (siehe Screenshots).
hängt denn der Methusalem überhaupt mit Port 443 am Internat?
oder mit 25?
oder werkelt da der eingebaute pop3 Abräumer?
@metalposaunistDen Artikel wollte ich auch schon verlinken, hab ich nur noch nicht geschafft. Er ist wirklich lesenswert, der Schlusssatz ist fast so gut wie die Gate A20 Phobie von Andreas Stiller.
Im Übrigen ist OWA nicht die Synchronisation für Mobilgeräte, das erledigt das ActiveSync Protokoll welches auch bei HostedExchange und per Lizenzierung bei vielen Anderen Groupwareservern zum Einsatz kommt.
@siro schrieb:
... hängt denn der Methusalem überhaupt mit Port 443 am Internat? ...
nein, das Faktotum "SBS 2011" mit "Exchange Server 2010" hängt nicht mit Port 443 am Internet, auch nicht am Internat. Diese Zeiten sind längst vorbei 😉
... insofern nehme ich an, dass ich (unverschuldet) privat nicht von diesem Exploit betroffen bin.
Das Tool MSERT.EXE hat auch nichts gefunden.
In diesem Fall finde ich es sehr gut, dass ich nichts gefunden habe.
In anderen Fällen nervt es mich, wenn ich nichts finde 😄
Die Systempartner werden ebenfalls auf solche Sicherheitslücken aufmerksam gemacht.
Wir weisen auch im Rahmen des Admin Workshops im wieder darauf hin, wie wichtig es ist, seine System aktuell zu halten.
Das Problem bei Exchange ist halt, dass er nicht mit dem normalen Windows Update aktuell gehalten wird.
Hier müssen die CUs manuell geladen und installiert werden, was leider nicht jeder weis.
Deshalb gehen solche wichtigen Infos an Systempartner und ich informiere auch in unserer Gruppe.
... ja, mit den Sicherheitsupdates kann man immer nur den Sicherheitslücken 'hinterherlaufen'
was war zuerst da, das Huhn oder das Ei ?
das hilft den armen vom Chef zum Admin verdonnerten Kollegen außerhalb der Systempartnerschaft oder Ihrer Gruppe nicht.
Außerdem sollten die Systempartner sowas wissen, bei Ihrer Gruppe kann ich das nicht beurteilen.
@Guenter_Stettner: Okay, dachte da käme etwas mehr von DATEV, weil DATEV doch etwas näher an Microsoft steht als Systempartner oder eine eigene EDV Abteilung, die auf Artikel von Günther Born angewiesen sind. Und tatsächlich war die Maus beim Exchange schneller als die Katze 😣.
@metalposaunist schrieb:@Guenter_Stettner: Okay, dachte da käme etwas mehr von DATEV, weil DATEV doch etwas näher an Microsoft steht als Systempartner oder eine eigene EDV Abteilung, die auf Artikel von Günther Born angewiesen sind. Und tatsächlich war die Maus beim Exchange schneller als die Katze 😣.
Och, kommt ja auf den Systempartner an. Es gibt durchaus welche, die nah an MS stehen 🙂
Dann wussten Sie @marco_keuthen also schon lange vor uns 😉, dass Microsoft noch CU20 und CU21 für denn Exchange Server 2016 ausrollt, wo doch CU19 das letzte sein sollte.
Released: March 2021 Quarterly Exchange Updates via BornCity.
CU20 beinhaltet neben dem Fix für den Exchange Hack auch weitere Fehlerbehebungen.
Exchange: Hafnium-Hacker kapitulieren vor Office 365
Möge jeder das glauben, was er will 😬 aber als ein Denkanstoß vielleicht nicht so verkehrt.
@vogtsburger schrieb:...
was war zuerst da, das Huhn oder das Ei ?
das dürfen Sie gerne ergänzen: Huhn, Hahn, Henne oder Ei ? 🤣
Achtung: ➡️ Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?‼️
patchen, patchen, patchen!
Neue Sicherheitsupdates für Exchange Server (April 2021)