Nobbyaushb 1.475 Geschrieben 3. März 2021 Melden Teilen Geschrieben 3. März 2021 (bearbeitet) Hallo zusammen, das Exchange Team hat nor vor Veröffentlichung der März-CU´s diverse Security-Fixes veröffentlicht, den Artikel wie immer in EN findet ihr hier: https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901 Es wurden Fixes veröffentlicht für: Exchange Server 2010 (RU 31 for Service Pack 3 – this is a Defense in Depth update) Exchange Server 2013 (CU 23) Exchange Server 2016 (CU 19, CU 18) Exchange Server 2019 (CU 8, CU 7) Bitte beachten und so bald als möglich installieren! N bearbeitet 3. März 2021 von Nobbyaushb URL 1 1 Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 3. März 2021 Melden Teilen Geschrieben 3. März 2021 Zitat Because we are aware of active exploits of related vulnerabilities in the wild (limited targeted attacks), our recommendation is to install these updates immediately to protect against these attacks. ... The last Exchange 2016 and Exchange 2019 CU’s were released in December of 2020. Are new CU’s releasing in March 2021? We are still on schedule to release Exchange Server 2016 CU 20 and Exchange Server 2019 CU 9 in March 2021 and those CUs will contain the Security Updates mentioned here (along with other fixes). Our strong recommendation is to install security updates immediately. Released: March 2021 Exchange Server Security Updates - Microsoft Tech Community Zitat Technical details Microsoft is providing the following details to help our customers understand the techniques used by HAFNIUM to exploit these vulnerabilities and enable more effective defense against any future attacks against unpatched systems. CVE-2021-26855 is a server-side request forgery (SSRF) vulnerability in Exchange which allowed the attacker to send arbitrary HTTP requests and authenticate as the Exchange server. CVE-2021-26857 is an insecure deserialization vulnerability in the Unified Messaging service. Insecure deserialization is where untrusted user-controllable data is deserialized by a program. Exploiting this vulnerability gave HAFNIUM the ability to run code as SYSTEM on the Exchange server. This requires administrator permission or another vulnerability to exploit. CVE-2021-26858 is a post-authentication arbitrary file write vulnerability in Exchange. If HAFNIUM could authenticate with the Exchange server then they could use this vulnerability to write a file to any path on the server. They could authenticate by exploiting the CVE-2021-26855 SSRF vulnerability or by compromising a legitimate admin’s credentials. CVE-2021-27065 is a post-authentication arbitrary file write vulnerability in Exchange. If HAFNIUM could authenticate with the Exchange server then they could use this vulnerability to write a file to any path on the server. They could authenticate by exploiting the CVE-2021-26855 SSRF vulnerability or by compromising a legitimate admin’s credentials. HAFNIUM targeting Exchange Servers with 0-day exploits - Microsoft Security HTH Jan 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 3. März 2021 Melden Teilen Geschrieben 3. März 2021 Interessant, ich dachte exchange 2019 hätte gar keinen um Service mehr. :/ CVE-2021-26857 is an insecure deserialization vulnerability in the Unified Messaging service. hat wohl jemand den Code nicht aufgeräumt. ;) Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 3. März 2021 Melden Teilen Geschrieben 3. März 2021 vor 30 Minuten schrieb NorbertFe: hat wohl jemand den Code nicht aufgeräumt. ;) Ain't nobody got time for that. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 3. März 2021 Melden Teilen Geschrieben 3. März 2021 Wahrscheinlich im Sourcecode unter ### hier auskommentieren, damit die Endbenutzer die GUI und Powershell für UM Service nicht mehr nutzen können zu finden. ;) Zitieren Link zu diesem Kommentar
mwiederkehr 382 Geschrieben 3. März 2021 Melden Teilen Geschrieben 3. März 2021 Gibt es zum CVE-2021-26855 schon Informationen, wie genau (oder zumindest auf welcher Seite) der SSRF ausgeführt wird? Weil "Port 443 blocken" ist keine brauchbare "Mitigation", aber "den Zugriff auf /xy blocken" (und dann geht Feature XY im OWA temporär nicht mehr) wäre eine. Es ist schon klar, dass Microsoft keinen PoC veröffentlicht, wenn erst die Chinesen den Exploit haben, aber etwas mehr Details wären hilfreich. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 3. März 2021 Melden Teilen Geschrieben 3. März 2021 (bearbeitet) Naja, hat MS da wirklich in den letzten Monaten schon mal Details zu solchen Dingen veröffentlicht? Die ändern zwar ständig ihr MSRC Portal, aber ich würde sagen, leserlicher wurde es bisher dadurch nicht. Und mehr Details finden sich eben auch nicht. Muss man wohl wieder warten, bis die PoC dann auf Github auftauchen. ;) bearbeitet 3. März 2021 von NorbertFe Zitieren Link zu diesem Kommentar
Lian 2.436 Geschrieben 3. März 2021 Melden Teilen Geschrieben 3. März 2021 Hier noch weitere Links dazu: https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/ https://www.heise.de/news/Jetzt-patchen-Angreifer-attackieren-Microsoft-Exchange-Server-5070309.html Aktuell gültig: https://aka.ms/ExOOB Danke Nobby für den Hinweis Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 3. März 2021 Melden Teilen Geschrieben 3. März 2021 Überall diese Werbung "Exchange online is not affected". :-P 2 Zitieren Link zu diesem Kommentar
Squire 265 Geschrieben 3. März 2021 Melden Teilen Geschrieben 3. März 2021 geht ja auch einfach ... erst die eigenen Maschinen patchen und dann den Patch öffentlich machen und schon sind die eigenen Exchange Online nicht betroffen Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 3. März 2021 Melden Teilen Geschrieben 3. März 2021 BTW.: Ist das jetzt die erste "Überraschung" aus dem Solarwinds Hack (Sunburst / Solorigate), wo - laut Berichten - bei Microsoft Teile vom Exchange Source Code abhanden gekommen sind? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 3. März 2021 Melden Teilen Geschrieben 3. März 2021 Hmm... bleibt spannend. Hast du "laut Berichten" mal als Link? :) Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 3. März 2021 Melden Teilen Geschrieben 3. März 2021 Microsoft: Solarwinds-Hacker sahen Code für Azure, Exchange und Intune | heise online Microsoft: Solorigate attackers grabbed Azure, Intune, Exchange component source code - Help Net Security Microsoft Affirms Solorigate Attackers Saw Azure, Intune and Exchange Source Code -- Redmondmag.com Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 3. März 2021 Melden Teilen Geschrieben 3. März 2021 Danke. Na wär die Frage, wieviel "a small subset of Exchange components" ist. ;) Zitieren Link zu diesem Kommentar
MrCocktail 194 Geschrieben 3. März 2021 Melden Teilen Geschrieben 3. März 2021 Hi, ja ist es :-/ (Zumindest wenn meine Quellen stimmen), was mich etwas überrascht hat, war der Patch für Exchange 2010 ... Gruß J Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.