Exchange Sicherheitslücke wird aktiv ausgenutzt CVE-2021-26855

Microsoft hat seine Partner angeschrieben, das es dringende Sicherheitsupdates gibt welche umgehend eingespielt werden sollte – da diese schon in großen Umfang ausgenutzt werden.

Es empfiehlt sich folgende Vorgehensweise:

Generell ist vorher zu kontrollieren ob Snapshots vorhanden sind, wenn ja diese löschen. Wer mehr sicherheit möchte, der erstellt bitte hier frische.

Es sollten alle Windowsupdates installiert sein.

Die Datensicherung sollte erfolgreich durchgelaufen sein (wer größere Sicherheit möchte, hält den SMTP Dienst an bzw. Emailprotection und aktualisiert die Sicherung).

Nun sollte mit einer Administrativen Exchange Management Shell die Exchange Version kontrolliert werden (get-exchangeserver|fl und die Version hier vergleichen https://docs.microsoft.com/de-de/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019) und das entsprechende Update hier heruntergeladen werden: https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b

Hinweis: Updates für Exchange 2010 finden sie hier: https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2010-service-pack-3-march-2-2021-kb5000978-894f27bf-281e-44f8-b9ba-dad705534459

Sollte eine nicht unterstützte Version eingesetzt werden, so muss diese natürlich erst mal vor der Installation aktualisiert werden.

Achtung: Das Update muss DRINGEND mit einer privilegierten Shell ausgeführt werden, da es sonst durchläuft ohne Fehlermeldungen aber nicht alles aktualisiert!

Dazu dann bitte die Exchange Mangagement Shell starten als Administrator.

Wenn das Update eingespielt wurde, dann von https://github.com/microsoft/CSS-Exchange/tree/main/Security die Dateien https://github.com/microsoft/CSS-Exchange/releases/latest/download/Test-ProxyLogon.ps1, https://github.com/microsoft/CSS-Exchange/releases/latest/download/BackendCookieMitigation.ps1 und https://github.com/microsoft/CSS-Exchange/releases/download/v21.03.08.2328/CompareExchangeHashes.ps1 herunterladen nach C:\Temp.

Weiterhin dort dann noch von https://www.iis.net/downloads/microsoft/url-rewrite die Datei https://download.microsoft.com/download/1/2/8/128E2E22-C1B9-44A4-BE2A-5859ED1D4592/rewrite_amd64_en-US.msi herunterladen nach C:\temp (bitte nicht die Deutsche Version, da die Installation sonst mit einer Fehlermeldung abbricht).

Dann mit der privilegierten Exchange Management Shell dann den folgenden Befehl ausführen in C:\Temp :

Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs

Anschließend dann das folgende Script starten:

.\BackendCookieMitigation.ps1 -FullPathToMSI "C:\temp\rewrite_amd64_en-US.msi" -WebSiteNames "Default Web Site" -Verbose

Sollte beim ersten Befehlt folgendes angezeigt werden:

[CVE-2021-26855] Suspicious activity found in Http Proxy log!

Bitte umgehend das System untersuchen – oder besser Unterstützung anfordern, die das System untersucht und ggf. bereinigt! Weitere Infos hier: https://www.fireeye.com/blog/threat-research/2021/03/detection-response-to-exploitation-of-microsoft-exchange-zero-day-vulnerabilities.html

Das System können sie mit den kostenlosen Sicherheitstool prüfen und bereinigen lassen: https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download

Dazu auch weitere Virenscanner suchen lassen.

Anaylse bei Befall: https://us-cert.cisa.gov/ncas/alerts/aa21-062a

Prüfen Sie ob ihre Version geschützt ist! Sollten Sie den Patch auf einem nicht aktuellen CU einspielen, so müssen sie denn passenden Patch erneut einspielen (in den späteren CU’s wird das sicherlich nicht nötig sein)! Sollten Sie Beispielsweise Exchange 2019 CU7 installiert haben und konnten nicht Updaten – sondern nur Patchen und wollen das CU8 am Wochenende nicht einspielen – achten Sie darauf, das sie nicht den vorhandenen Download nehmen, sondern laden den Patch für CU8 herunter und installieren diesen. Dieser wird zwar danach auch in den Windowsupdates angezeigt – bis zum einspielen ist jedoch wieder ihr System ungeschützt bis der neue Patch installiert wurde. Sie können einfach prüfen ob sie geschützt sind – in dem Sie die Version vom OWA im Ordner C:\Programme\Microsoft\Exchange\Vxx\ClientAccess\owa kontrollieren – eine Übersicht der geschätzten Systeme finden Sie hier: https://www.msxfaq.de/exchange/update/hafnium-exploit.htm

Weitere Informationen hier:

https://www.heise.de/news/Angriffe-auf-Exchange-Server-Microsoft-stellt-Pruef-Skript-fuer-Admins-bereit-5073827.html

https://www.heise.de/news/Jetzt-patchen-Angreifer-attackieren-Microsoft-Exchange-Server-5070309.html

Update 12.03.2021:

Der ECP sollte nicht mehr von extern freigegeben werden – was nicht ganz unproblematisch ist. Einen guten Workaround habe ich auf Frankysweb gefunden: https://www.frankysweb.de/exchange-2016-eac-nur-im-internen-netzwerk-freigeben/. Hinweis: Sollte ein Loadbalancer den Zugriff vermitteln, so muss dort der Port auch noch weitergeleitet werden!

Update 17.03.2021:

Microsoft stellt ein weiteres Tool zur Verfügung, das EOMT – dieses sollte unbedingt auch zeitnah ausgeführt werden: https://github.com/microsoft/CSS-Exchange/releases/latest/download/EOMT.ps1

Beachten Sie auch bitte, das wenn sie eine Webprotection verwenden, auch einige Freigaben vorzunehmen sind wie z.B.

Windowsupdates:

Zoom:

Update 23.03.2021:

Sollten sie das Active Directory (AD) untersuchen müssen, so können sie dies mit BloodHount durchführen: https://www.leibling.de/bloodhound-active-directory-ueberpruefen/

Tags: , ,