ComputerBase Menü
Aktuelles

News Microsoft Exchange: One-Click-Tool soll die Sicherheitslücken schließen

SVΞN

SVΞN

Redakteur a.D. Pro
Registriert
Juni 2007
Beiträge
23.032
  • Gefällt mir
Reaktionen: Kazuja und knoxxi
Daran ist klar zu erkennen wenn die Sicherheitsbehörden in den USA mit anderen Dingen beschäftigt, Microsoft keine Patches rechtzeitig bringt/kann. Die Sicherheitslücke wurde im Januar gemeldet. Da hatten die Sicherheitsbehörden gerade alle Hände voll zu tun mit Trump & Co.
Steile These anders ist es nicht zu erklären wieso ein Patch 3 Monate mit dem Ausmaß zurück gehalten wird.

Gestern Abend ist ja auch die Azure AD kaputt gegangen und über Stunden ging Weltweit gar nichts.


https://www.borncity.com/blog/2021/...ams-exchange-online-office-365-etc-15-3-2021/



Großes Kino von Winzigzweich
 
  • Gefällt mir
Reaktionen: Asghan, Fritzler und Termy
konkretor schrieb:
Da hatten die Sicherheitsbehörden gerade alle Hände voll zu tun mit Trump & Co.
Zum Vergrößern anklicken....
Meinste da blieb nicht genug Zeit, ne neue Hintertür einzubauen 🤣
 
  • Gefällt mir
Reaktionen: TierParkToni und konkretor
konkretor schrieb:
Steile These anders ist es nicht zu erklären wieso ein Patch 3 Monate mit dem Ausmaß zurück gehalten wird.
Zum Vergrößern anklicken....
Es ist ganz simpel zu erklären wie man sowas zurückhält, die meisten Angriffe kamen nicht vor dem Stichtag, sondern genau am 03.03 und den darauf folgenden Tagen.

Es mag sein, dass Hafnium vor Wochen/Monaten über diese Lücke Daten ausgespäht hat, die ganzen Webshells für Mining wurden erst überall installiert, nachdem die Lücken öffentlich bekannt wurden und auch der Patch bereit stand.

In der Zeit dazwischen wurden die Patches entwickelt, die eigenen Lösungen abgesichert und höchstwahrscheinlich auch große Hoster und Firmen unter der Hand über die Gefahr informiert.
 
Wer den nicht Anfang März gefixt hat, der kann den nur noch Platt machen.

Es wurden schon lange in alle Server Backdoors eingebaut und aktuell rolle die Ransomeware los.
Es war ein richtiger Cyberwar-Angriff.
https://www.heise.de/news/Der-Hafnium-Exchange-Server-Hack-Anatomie-einer-Katastrophe-5077269.html
Der obige Abriss legt nahe, dass dies eine Katastrophe mit Ansage war.

Deren Bestandteile sind: Eine verfehlte Produktpolitik (Exchange in jede Hundehütte), gepaart mit Produktmängeln (Exchange-Server zu patchen erfordert Know-how), in Kombination mit oft ungewarteten und damit über Sicherheitslücken angreifbaren Exchange-Servern. Zu dieser explosiven Gemengelage gesellt sich die Tatsache, dass sich Microsoft doch reichlich Zeit gelassen hat, die kritischen Sicherheits-Updates bereitzustellen.

Diese kamen zunächst nur für aktuelle Systeme, obwohl auch bis Redmond durchgedrungen sein dürfte, dass das viele aktive Server ausschließt. Und das alles krönt Microsoft dann mit der Chuzpe von "vereinzelten Angriffen auf ausgesuchte Ziele" zu sprechen, als längst systematisch gescannt und kompromittiert wurde.
Zum Vergrößern anklicken....

https://www.heise.de/news/Analyse-Exchange-und-die-Cyber-Abschreckungsspirale-5284372.html
Ergänzung ()

xexex schrieb:
Es mag sein, dass Hafnium vor Wochen/Monaten über diese Lücke Daten ausgespäht hat, die ganzen Webshells für Mining wurden erst überall installiert, nachdem die Lücken öffentlich bekannt wurden und auch der Patch bereit stand.
Zum Vergrößern anklicken....

Falsch, die Backdoors kamen schon eher. Wochen eher:

https://www.heise.de/news/Der-Hafnium-Exchange-Server-Hack-Anatomie-einer-Katastrophe-5077269.html schrieb:
Bereits am 29. Januar 2021 berichtete Trend Micro in einem Blog-Beitrag von Angreifern, die über Schwachstellen eine Webshell als Hintertür auf Exchange-Servern installierten. Der Praktiker hätte es ab diesem Zeitpunkt mit "da brennt die Hütte" umschrieben. Am 2. Februar 2021 warnte auch Volexity Microsoft.
Zum Vergrößern anklicken....
 
  • Gefällt mir
Reaktionen: holdes und konkretor
DKK007 schrieb:
Falsch, die Backdoors kamen schon eher.
Zum Vergrößern anklicken....
Dann drücke ich es mal anders aus.... Von ungefähr 40 Servern die ich mir angeschaut habe, waren keine vor dem 03.03 auf irgendeine Art und Weise angegriffen worden, aber fast alle davon auf den Tag genau am 03.03. Wobei man hier auch spezifizieren muss, am 03.03 haben sich einige anscheinend nur "umgesehen" und am 04.03 kamen diverse Angriffe.

Alles was davor kam ist für mich irrelevant und es zeigt sehr gut wieso man solche Lücken nicht sofort an die große Glocke hängt, bevor alle Patches bereitstehen. Das diese Lücken schon lange davor ausgenutzt wurden, dürfte jedem klar sein, sonst wären sie ja nicht aufgefallen. "Richtig" losgegangen ist es aber erst nach der Bekanntgabe.
 
Zuletzt bearbeitet:
Für alle die sich etwas Zeit nehmen und mal schauen wollen, was da denn so passiert ist:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
 
  • Gefällt mir
Reaktionen: Schorsch92 und konkretor
@SV3N Du hast einen kritischen Fehler im Artikel - das Tool installiert keine Patches, nur die Mitigation!

Tool-Beschreibung schrieb:
This tool is not a replacement for the Exchange security update but is the fastest and easiest way to mitigate the highest risks to internet-connected, on-premises Exchange Servers prior to patching.
Zum Vergrößern anklicken....

Beschreibung auf Github schrieb:
Question: What mode should I run EOMT.ps1 in by default?

Answer: By default, EOMT.ps1 should be run without any parameters:

This will run the default mode which does the following:
  1. Checks if your server is vulnerable based on the presence of the SU patch or Exchange version.
  2. Downloads and installs the IIS URL rewrite tool (only if vulnerable).
  3. Applies the URL rewrite mitigation (only if vulnerable).
  4. Runs the Microsoft Safety Scanner in "Quick Scan" mode (vulnerable or not).
Zum Vergrößern anklicken....

Das Patching muss weiterhin vom Administrator per Hand durchgeführt werden.
 
  • Gefällt mir
Reaktionen: Schorsch92, SVΞN und konkretor
SV3N schrieb:
Mit einer One-Click-Lösung möchte Microsoft die kritischen Sicherheitslücken, die sogenannten „Hafnium-Exploits“, im Exchange Server 2010, Exchange Server 2013, Exchange Server 2016 sowie Exchange Server 2019 schließen
Zum Vergrößern anklicken....

Leider bleibt die zentrale Frage offen.
Welche OS installiert denn nun dieses Tool, das die kritischen Sicherheitslücken, die sogenannten „Hafnium-Exploits“, im Exchange Server 2010, Exchange Server 2013, Exchange Server 2016 sowie Exchange Server 2019 schließen soll? Oder wird da etwa nur das Problem, der Exchange Serve, deinstalliert ohne eine Alternative zu bieten?
 
Gut, dass mein AG noch den Exchange Server 2010 sp 3 am Laufen hat. Da kommen die Hacker mit Sicherheit nicht drauf, weil die den wegen dem Alter nicht auf dem Schirm haben! Unser EDV-Dienstleister ist halt ein Fuchs!
 
konkretor schrieb:
Gestern Abend ist ja auch die Azure AD kaputt gegangen und über Stunden ging Weltweit gar nichts.
Zum Vergrößern anklicken....
Habe ich gar nicht mitbekommen. Bei mir gab es keine Probleme. Aber Microsoft schreibt ja selbst:

Starting at approximately 19:15 UTC on 15 Mar 2021, a subset of customers may experience issues authenticating into Microsoft services
Zum Vergrößern anklicken....
Ist der Kelch dieses Mal wohl wieder an mir vorbeigegangen.

Silence999 schrieb:
Gut, dass mein AG noch den Exchange Server 2010 sp 3 am Laufen hat.
Zum Vergrößern anklicken....
Sarkasmus oder Artikel nicht gelesen?
 
Die "One-Click"-Lösungen gehen in die Verlängerung. Wegen des großen Erfolges. ;-)

In der UNIX-Welt gibts sowas ja auch. Auch bei Mailservern. Man denke nur an sendmail. hat man aber irgendwann die Reißleine gezogen und sich gesagt: sendmail verwenden wir nicht mehr. Die Microsoft-Welt schiebt diesen Schritt jetzt aber immer noch vor sich her und macht sogar aus der Not eine Tugend. Als Push-to-Cloud-Marketing. :-)
 
DKK007 schrieb:
Wer den nicht Anfang März gefixt hat, der kann den nur noch Platt machen.
Zum Vergrößern anklicken....

Aber nur bei Exchange Servern, welche direkt im Netz erreichbar waren. Wer macht das schon?

andy_m4 schrieb:
In der UNIX-Welt gibts sowas ja auch. Auch bei Mailservern.
Zum Vergrößern anklicken....

Blöd nur, dass der Exchange ja nicht nur ein einfacher Mailserver ist. Die Alternativen kann man sich mit wenigen Fingern abzählen - leider.
 
DKK007 schrieb:
Was nützt ein Email-Server der nicht von außen erreichbar ist?
Zum Vergrößern anklicken....

Ich schrieb „nicht direkt erreichbar“ und nicht „nicht erreichbar“.
Man packt in der Regel vor dem Exchange einen Reverse Proxy und noch diverse andere Sachen, eben damit die Exchange Server nicht direkt im Internet erreichbar sind.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

C
Microsoft Exchange Online
Antworten
11
Aufrufe
2.705
LasseSamenström
LasseSamenström
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz