News Microsoft Exchange: One-Click-Tool soll die Sicherheitslücken schließen

[SVΞN]

Mit einer One-Click-Lösung möchte Microsoft die kritischen Sicherheitslücken, die sogenannten „Hafnium-Exploits“, im Exchange Server 2010, Exchange Server 2013, Exchange Server 2016 sowie Exchange Server 2019 schließen, welche die dafür namensgebende Hacker-Gruppe Hafnium zuvor bereits ausgenutzt hatten.

Zur News: Microsoft Exchange: One-Click-Tool soll die Sicherheitslücken schließen

 

[konkretor]

Daran ist klar zu erkennen wenn die Sicherheitsbehörden in den USA mit anderen Dingen beschäftigt, Microsoft keine Patches rechtzeitig bringt/kann. Die Sicherheitslücke wurde im Januar gemeldet. Da hatten die Sicherheitsbehörden gerade alle Hände voll zu tun mit Trump & Co.
Steile These anders ist es nicht zu erklären wieso ein Patch 3 Monate mit dem Ausmaß zurück gehalten wird.

Gestern Abend ist ja auch die Azure AD kaputt gegangen und über Stunden ging Weltweit gar nichts.


https://www.borncity.com/blog/2021/...ams-exchange-online-office-365-etc-15-3-2021/



Großes Kino von Winzigzweich

 

[Termy]

Da hatten die Sicherheitsbehörden gerade alle Hände voll zu tun mit Trump & Co.

Meinste da blieb nicht genug Zeit, ne neue Hintertür einzubauen 🤣

 

[xexex]

Steile These anders ist es nicht zu erklären wieso ein Patch 3 Monate mit dem Ausmaß zurück gehalten wird.

Es ist ganz simpel zu erklären wie man sowas zurückhält, die meisten Angriffe kamen nicht vor dem Stichtag, sondern genau am 03.03 und den darauf folgenden Tagen.

Es mag sein, dass Hafnium vor Wochen/Monaten über diese Lücke Daten ausgespäht hat, die ganzen Webshells für Mining wurden erst überall installiert, nachdem die Lücken öffentlich bekannt wurden und auch der Patch bereit stand.

In der Zeit dazwischen wurden die Patches entwickelt, die eigenen Lösungen abgesichert und höchstwahrscheinlich auch große Hoster und Firmen unter der Hand über die Gefahr informiert.

 

[DKK007]

Wer den nicht Anfang März gefixt hat, der kann den nur noch Platt machen.

Es wurden schon lange in alle Server Backdoors eingebaut und aktuell rolle die Ransomeware los.
Es war ein richtiger Cyberwar-Angriff.
https://www.heise.de/news/Der-Hafnium-Exchange-Server-Hack-Anatomie-einer-Katastrophe-5077269.html

Der obige Abriss legt nahe, dass dies eine Katastrophe mit Ansage war.

Deren Bestandteile sind: Eine verfehlte Produktpolitik (Exchange in jede Hundehütte), gepaart mit Produktmängeln (Exchange-Server zu patchen erfordert Know-how), in Kombination mit oft ungewarteten und damit über Sicherheitslücken angreifbaren Exchange-Servern. Zu dieser explosiven Gemengelage gesellt sich die Tatsache, dass sich Microsoft doch reichlich Zeit gelassen hat, die kritischen Sicherheits-Updates bereitzustellen.

Diese kamen zunächst nur für aktuelle Systeme, obwohl auch bis Redmond durchgedrungen sein dürfte, dass das viele aktive Server ausschließt. Und das alles krönt Microsoft dann mit der Chuzpe von "vereinzelten Angriffen auf ausgesuchte Ziele" zu sprechen, als längst systematisch gescannt und kompromittiert wurde.

https://www.heise.de/news/Analyse-Exchange-und-die-Cyber-Abschreckungsspirale-5284372.html

Ergänzung (16. März 2021)

Es mag sein, dass Hafnium vor Wochen/Monaten über diese Lücke Daten ausgespäht hat, die ganzen Webshells für Mining wurden erst überall installiert, nachdem die Lücken öffentlich bekannt wurden und auch der Patch bereit stand.

Falsch, die Backdoors kamen schon eher. Wochen eher:

Bereits am 29. Januar 2021 berichtete Trend Micro in einem Blog-Beitrag von Angreifern, die über Schwachstellen eine Webshell als Hintertür auf Exchange-Servern installierten. Der Praktiker hätte es ab diesem Zeitpunkt mit "da brennt die Hütte" umschrieben. Am 2. Februar 2021 warnte auch Volexity Microsoft.

 

[xexex]

Falsch, die Backdoors kamen schon eher.

Dann drücke ich es mal anders aus.... Von ungefähr 40 Servern die ich mir angeschaut habe, waren keine vor dem 03.03 auf irgendeine Art und Weise angegriffen worden, aber fast alle davon auf den Tag genau am 03.03. Wobei man hier auch spezifizieren muss, am 03.03 haben sich einige anscheinend nur "umgesehen" und am 04.03 kamen diverse Angriffe.

Alles was davor kam ist für mich irrelevant und es zeigt sehr gut wieso man solche Lücken nicht sofort an die große Glocke hängt, bevor alle Patches bereitstehen. Das diese Lücken schon lange davor ausgenutzt wurden, dürfte jedem klar sein, sonst wären sie ja nicht aufgefallen. "Richtig" losgegangen ist es aber erst nach der Bekanntgabe.

 

[derlorenz]

Für alle die sich etwas Zeit nehmen und mal schauen wollen, was da denn so passiert ist:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[DKK007]

"Richtig" losgegangen ist es aber erst nach der Bekanntgabe.

Das war die dritte Welle, wo man noch schnell mitnehmen wollte was geht.

 

[Rickmer]

@SV3N Du hast einen kritischen Fehler im Artikel - das Tool installiert keine Patches, nur die Mitigation!

This tool is not a replacement for the Exchange security update but is the fastest and easiest way to mitigate the highest risks to internet-connected, on-premises Exchange Servers prior to patching.

Question: What mode should I run EOMT.ps1 in by default?

Answer: By default, EOMT.ps1 should be run without any parameters:

This will run the default mode which does the following:

1. Checks if your server is vulnerable based on the presence of the SU patch or Exchange version.
2. Downloads and installs the IIS URL rewrite tool (only if vulnerable).
3. Applies the URL rewrite mitigation (only if vulnerable).
4. Runs the Microsoft Safety Scanner in "Quick Scan" mode (vulnerable or not).

Das Patching muss weiterhin vom Administrator per Hand durchgeführt werden.

 

[SVΞN]

Danke @Rickmer wird gleich angepasst.

 

[Hayda Ministral]

Mit einer One-Click-Lösung möchte Microsoft die kritischen Sicherheitslücken, die sogenannten „Hafnium-Exploits“, im Exchange Server 2010, Exchange Server 2013, Exchange Server 2016 sowie Exchange Server 2019 schließen

Leider bleibt die zentrale Frage offen.
Welche OS installiert denn nun dieses Tool, das die kritischen Sicherheitslücken, die sogenannten „Hafnium-Exploits“, im Exchange Server 2010, Exchange Server 2013, Exchange Server 2016 sowie Exchange Server 2019 schließen soll? Oder wird da etwa nur das Problem, der Exchange Serve, deinstalliert ohne eine Alternative zu bieten?

 

[Silence999]

Gut, dass mein AG noch den Exchange Server 2010 sp 3 am Laufen hat. Da kommen die Hacker mit Sicherheit nicht drauf, weil die den wegen dem Alter nicht auf dem Schirm haben! Unser EDV-Dienstleister ist halt ein Fuchs!

 

[Bodennebel]

Gestern Abend ist ja auch die Azure AD kaputt gegangen und über Stunden ging Weltweit gar nichts.

Habe ich gar nicht mitbekommen. Bei mir gab es keine Probleme. Aber Microsoft schreibt ja selbst:

Starting at approximately 19:15 UTC on 15 Mar 2021, a subset of customers may experience issues authenticating into Microsoft services

Ist der Kelch dieses Mal wohl wieder an mir vorbeigegangen.

Gut, dass mein AG noch den Exchange Server 2010 sp 3 am Laufen hat.

Sarkasmus oder Artikel nicht gelesen?

 

[Silence999]

Sarkasmus oder Artikel nicht gelesen?

Ersteres ;-)

 

[Bodennebel]

OK, dann habe ich den Fuchs von EDV-Dienstleister doch richtig interpretiert.

 

[andy_m4]

Die "One-Click"-Lösungen gehen in die Verlängerung. Wegen des großen Erfolges. ;-)

In der UNIX-Welt gibts sowas ja auch. Auch bei Mailservern. Man denke nur an sendmail. hat man aber irgendwann die Reißleine gezogen und sich gesagt: sendmail verwenden wir nicht mehr. Die Microsoft-Welt schiebt diesen Schritt jetzt aber immer noch vor sich her und macht sogar aus der Not eine Tugend. Als Push-to-Cloud-Marketing. :-)

 

[Chantal Shepard]

Wer den nicht Anfang März gefixt hat, der kann den nur noch Platt machen.

Aber nur bei Exchange Servern, welche direkt im Netz erreichbar waren. Wer macht das schon?

In der UNIX-Welt gibts sowas ja auch. Auch bei Mailservern.

Blöd nur, dass der Exchange ja nicht nur ein einfacher Mailserver ist. Die Alternativen kann man sich mit wenigen Fingern abzählen - leider.

 

[DKK007]

Aber nur bei Exchange Servern, welche direkt im Netz erreichbar waren. Wer macht das schon?

Was nützt ein Email-Server der nicht von außen erreichbar ist?

 

[Chantal Shepard]

Was nützt ein Email-Server der nicht von außen erreichbar ist?

Ich schrieb „nicht direkt erreichbar“ und nicht „nicht erreichbar“.
Man packt in der Regel vor dem Exchange einen Reverse Proxy und noch diverse andere Sachen, eben damit die Exchange Server nicht direkt im Internet erreichbar sind.

 

[DKK007]

achso

Aber ob das viele so wissen?