ComputerBase Menü
Aktuelles

News Hafnium-Exploits: Lücken in Exchange Server werden für Spionage genutzt

Na endlich hat sich die NGINX Frickelei vor dem Exchange ausgezahlt...

Unterm Strich kann man halt nur festhalten dass auch ein Exchange möglichst nicht exponiert werden sollte.
Die großen Firmen haben eh (hoffentlicht) alle was vorgeschaltet, aber die mit verhältnismäßig wenigen Mitarbeitern grad so an der Schwelle wo sich die on-Premise Lösung noch auszahlt wo die Kohle aber nicht mehr für eine vernünftige Application Layer Firewall gereicht hat können sich jetzt wohl gratulieren...

Rickmer schrieb:
Per Windows Update oder manuell, solange der Exchange auf einem aktuellen CU ist

Achtung: Wenn du auf Windows Update drückst legt der auch direkt mit der Installation los und stoppt dafür erstmal alle Exchange-Dienste. Kommt tagsüber vielleicht nicht so gut.
Zum Vergrößern anklicken....

Also, wer Updates auf einen Server einspielt ohne vorher zu lesen welche Updates das sind und dann noch während der Server in use ist, der sollte sich mal Gedanken machen ob die Admintätigkeit vielleicht doch besser wer anderer übernehmen sollte...
 
  • Gefällt mir
Reaktionen: snaxilian
@HighTech-Freak Normalerweise kann man auf 'nach Updates suchen' drücken ohne, dass es für den Produktivbetrieb problematisch ist. Da sticht das Patch schon als 'tückisch' heraus.
In den Patchnotes steht btw auch nirgens, dass die Exchange-Dienste schon bei Patch-Installation beendet werden und das nicht auf einen Reboot ausgelagert wird. Es wird lediglich darauf hingewiesen, dass ein Neustart nötig sein kann.

Aber deshalb testet man ja auch in einer Test-Umgebung bevor man beim Kunden was macht...

HighTech-Freak schrieb:
Die großen Firmen haben eh (hoffentlicht) alle was vorgeschaltet, aber die mit verhältnismäßig wenigen Mitarbeitern grad so an der Schwelle wo sich die on-Premise Lösung noch auszahlt wo die Kohle aber nicht mehr für eine vernünftige Application Layer Firewall gereicht hat können sich jetzt wohl gratulieren...
Zum Vergrößern anklicken....
Uhuh, weil Firewalls zu 100% zuverlässig sind und du dir damit den Patch sparen kannst...

[/sarcasmus]
 
  • Gefällt mir
Reaktionen: Pacman0811 und xexex
HighTech-Freak schrieb:
Die großen Firmen haben eh (hoffentlicht) alle was vorgeschaltet,
Zum Vergrößern anklicken....
"Was vorschalten" hilft dir nur wenn die Web Application Firewall die Angriffe bereits kennt oder erkennen kann. Die Sicherheitslücke war hingegen "neu" und basiert auch nicht auf irgendwelchen seltsamen Webanfragen, was die Erkennung schwierig macht, außer man blockt grundsätzlich Anfragen aus diversen Ländern.

Zusätzliche Absicherung ist immer gut und ermöglicht auch eine bessere Nachverfolgung solcher Angriffe. Einfach eine Sophos vorschalten und sich in Sicherheit fühlen, funktioniert bei solchen 0-Day Angriffen aber nicht.
Ergänzung ()

Rickmer schrieb:
Normalerweise kann man auf 'nach Updates suchen' drücken ohne, dass es für den Produktivbetrieb problematisch ist.
Zum Vergrößern anklicken....
Das klappt seit Server 2016 nicht, weil wenn du dort auf "Update suchen" gehst, wird auch direkt im Anschluss eine Aktualisierung gestartet. Ist dort ein Exchange oder SQL Server installiert und es gibt dafür ein Update, gibt es auch eine Unterbrechung des Produktionsablaufes.
 
  • Gefällt mir
Reaktionen: Unnu, Syagrius und sandcrawler
xexex schrieb:
außer man blockt grundsätzlich Anfragen aus diversen Ländern.
Zum Vergrößern anklicken....
Selbst dann - die meisten Angriffe sollen von gemieteten Servern in USA aus kommen... das ist ein Land das man nicht umbedingt auf seine Blockliste packt.
 
@Rickmer Kommt drauf an! Was den OWA Zugriff anbetrifft, so muss man USA nicht unbedingt freischalten. Ist ja nicht so als würden die Mitarbeiter eine deutschen Firma ständig in den Staaten unterwegs sein und bräuchten dort den Zugriff auf die Firmenmails. Grundsätzlich wird aber vermutlich bei vielen Exchange Servern nicht einmal eine Lösung vorgeschaltet sein die das könnte.

Ich sperre gerne die USA weil man damit auch einen Teil der Suchbots aussperrt, die sowieso auf einem Exchange Server nichts verloren haben.
 
Zuletzt bearbeitet:
Rickmer schrieb:
Für den einen oder anderen vielleicht hilfreich
Zum Vergrößern anklicken....
Sehr schön! Alle auf der Microsoft Seite gelisteten Befehle in einem Script, der auch noch den korrekten Exchange Server Installationspfad ausliest.
 
Rickmer schrieb:
@HighTech-Freak Normalerweise kann man auf 'nach Updates suchen' drücken ohne, dass es für den Produktivbetrieb problematisch ist. Da sticht das Patch schon als 'tückisch' heraus.
In den Patchnotes steht btw auch nirgens, dass die Exchange-Dienste schon bei Patch-Installation beendet werden und das nicht auf einen Reboot ausgelagert wird. Es wird lediglich darauf hingewiesen, dass ein Neustart nötig sein kann.

Aber deshalb testet man ja auch in einer Test-Umgebung bevor man beim Kunden was macht...


Uhuh, weil Firewalls zu 100% zuverlässig sind und du dir damit den Patch sparen kannst...

[/sarcasmus]
Zum Vergrößern anklicken....
Ja, man kann die Install auch idR während des Betriebs anstoßen, aber was bringts einem das, außer zusätzliches Risiko? Die meisten Updates installieren innerhalb weniger Minuten. Da kann man Update&Restart gleich verbinden.

@xexex Firewall war der falsche Begriff... => Authenticated Reverseproxy möglichst mit 2FA (zB https://www.authelia.com/docs/). Lediglich bei ActiveSync wird's etwas mehr tricky. Mobile Devices kann man aber generell sehr gut per WireGuard anbinden (natürlich ohne die 0.0.0.0/0 Route). Das Protokoll ist wie dafür gemacht.
 
  • Gefällt mir
Reaktionen: Schorsch92 und snaxilian
HighTech-Freak schrieb:
Firewall war der falsche Begriff... => Authenticated Reverseproxy möglichst mit 2FA (zB
Zum Vergrößern anklicken....
Man braucht dafür keine Bastellösung, sondern genau das macht eine WAF und ob ich einer Open Source Lösung die Absicherung meines Mailservers überlassen wollen würde, steht auf einem anderen Stern.

HighTech-Freak schrieb:
Mobile Devices kann man aber generell sehr gut per WireGuard anbinden
Zum Vergrößern anklicken....
Man kann auch direkt den IPSec Client verwenden, der sowohl bei iOS als auch Android Bestandteil des Systems ist. Kann man machen, macht man aus vielen Gründen eben oft doch nicht.

Das geschlossene Systeme bei denen der Mailserverzugriff nur über VPN erfolgt von dem Problem nicht betroffen sind, brauchen wir weiter nicht zu diskutieren. Die Mitarbeiter wollen und sollen aber heutzutage eben oft doch problemlos von überall auf ihre Mails zugreifen können und da führen solche Lösungen nicht zum Ziel.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Unnu
15 Stunden nur gepatchet. Dat war ein Tag.:heul:
 
  • Gefällt mir
Reaktionen: Poulton, xallobj und konkretor
Artikel-Update: BSI warnt vor mehreren Schwachstellen in MS Exchange
In der Zwischenzeit hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor mehreren schweren Sicherheitslücken in MS Exchange sowie Exchange Server 2010, Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 gewarnt.

Die Behörde gab in diesem Zusammenhang ein entsprechendes Dokument heraus und stuft die Schwachstellen mit der höchsten von vier Stufen (4 – „rot“) ein.

[Bilder: Zum Betrachten bitte den Artikel aufrufen.]

In seinem Schreiben geht das BSI zudem noch einmal im Detail auf den Sachverhalt um die Schwachstellen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 ein und nennt die entsprechenden Updates, welche die Sicherheitslücken schließen.
 
Richtig übel - bin froh bin ich mit meiner Firma in die Cloud migriert. Aber ob es dort wirklich sicherer ist, ist eine andere Frage...
 
war doch klar jetzt wo der Quellcode geleakt ist gibt es ein Lückenangriffsfeuerwerk. Ich seh schon die Klagewelle gegen Microsoft.Erst recht wenn die Lücken über Jahre bekannt waren.
 
Da lob ich mir qmail. Ein Beweis dafür, das Mailserver auch sicher geht. :-)
 
  • Gefällt mir
Reaktionen: RedRain
Genau, gut dass qmail keinerlei Lücken hat oder hatte, niemals!

Mal im Ernst, so Aussagen sind doch total unnötig und dienen nur zum Stimmung machen..
 
  • Gefällt mir
Reaktionen: Pacman0811, Transistor 22, chartmix und 4 andere
sini schrieb:
Was ich mich nun wieder frage ist, ob die Updates per Windows Update verteilt werden oder ob man die wie bei den CUs manuell installieren muss!

Bei Exchange wird darüber NIE ein Wort verloren.
Zum Vergrößern anklicken....
Ganz ehrlich wer solche Fragen stellt sollte keinen Exchange Server betreiben
 
  • Gefällt mir
Reaktionen: Schorsch92
Bis jetzt gibt's die exploit wohl noch nicht in den Skript Kidis Werkzeugen. Dürfte nur eine Frage der Zeit sein.

Dann geht es rund

Gibt genug die ihre Exchange Server nicht patchen oder 2010 und älter betreiben.
 
  • Gefällt mir
Reaktionen: Unnu
Zensai schrieb:
Genau, gut dass qmail keinerlei Lücken hat oder hatte, niemals!
Zum Vergrößern anklicken....
Soweit ich weiß ist im vanilla qmail sogar noch ne Lücke drin, weil das Ding schon seit den 90er Jahren nicht mehr aktualisiert wurde.
Andererseits zeigt das halt auch die Qualität wenn innerhalb von 20+ Jahren es nur eine ernsthafte Lücke gibt.
Wieviel hatte Exchange in der Zeit? :-)

Zensai schrieb:
Mal im Ernst, so Aussagen sind doch total unnötig und dienen nur zum Stimmung machen..
Zum Vergrößern anklicken....
Wenn Microsoft ordentliche Qualität abliefern würde, hätten wir die Diskussion gar nicht.
Beschwer Dich bei denen. ;-)
 
xexex schrieb:
genau das macht eine WAF
Zum Vergrößern anklicken....
Jain bzw. kommt auf die jeweilige "Definition" des Herstellers an^^
Klassisch guckt eine WAF was da so an Traffic fließt und wenn man es wirklich ernst meint erlaubt die nur die explizit gewünschten GET & POST Requests und verwirft alles andere.
Wenn ich einen simplen Reverse Proxy nutze wo ich in den Traffic nicht rein gucke und mir dieser egal ist und der Reverse Proxy nichts anderes macht als eine Authentisierung meiner User würde ich das nicht wirklich eine WAF nennen. Also halt wirklich nur ne simple quasi leere Seite wo Anwender nur Username, Pin und 2FA/MFA Token rein tippen können und bei korrekten Daten zu OWA weiter geleitet werden.

Da afaik OWA das Einfallstor war bzw. ist müssen nur diejenigen jetzt Überstunden schieben und patchen, die den Fehler machten und ihr OWA mit nacktem Arsch ins Internet gehangen haben.

@andy_m4 Ach komm das glaubst du doch selbst nicht. Zum einen gibt/gab es weitere auch remote ausnutzbare Lücken in qmail (Quelle) und zum anderen bietet ein Exchange das ein oder andere zusätzliche Feature. Ja, wer nur einen Mailserver sucht kann qmail, exim, postfix o.ä. verwenden aber Exchange ist ja dann doch deutlich mehr und auch andere Software weißt Lücken auf, nicht nur die aus dem Hause Microsoft. Zu guter Letzt nutzen deutlich mehr Menschen Exchange oder Postfix, daher ist es dort auch "lukrativer" nach Lücken zu suchen. Ja, qmail hat eine beeindruckende Geschichte was Stabilität und Sicherheit angeht aber die Reaktion des mehr oder weniger einzigen Entwicklers auf die zuletzt gefundenen Bugs sprechen nicht unbedingt für ihn. Er hätte auch einfach "danke" sagen können, einen Fix einbauen und/oder seine Ausrede als Mitigation benennen können.
Administrieren würde ich Exchange oder andere MS-Produkte trotzdem nicht wollen^^
 
Echt übel, ein erster Überblick bei unseren Kunden zeigt, dass über 90% aller durch uns verwaltete Exchange Server angegriffen wurden.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

SVΞN
News Microsoft Exchange: One-Click-Tool soll die Sicherheitslücken schließen
Antworten
19
Aufrufe
4.315
DKK007
DKK007
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz