News Microsoft Exchange: One-Click-Tool soll die Sicherheitslücken schließen

SV3N

Redakteur
Teammitglied
Dabei seit
Juni 2007
Beiträge
16.181

konkretor

Captain
Dabei seit
März 2011
Beiträge
3.726
Daran ist klar zu erkennen wenn die Sicherheitsbehörden in den USA mit anderen Dingen beschäftigt, Microsoft keine Patches rechtzeitig bringt/kann. Die Sicherheitslücke wurde im Januar gemeldet. Da hatten die Sicherheitsbehörden gerade alle Hände voll zu tun mit Trump & Co.
Steile These anders ist es nicht zu erklären wieso ein Patch 3 Monate mit dem Ausmaß zurück gehalten wird.

Gestern Abend ist ja auch die Azure AD kaputt gegangen und über Stunden ging Weltweit gar nichts.


https://www.borncity.com/blog/2021/...ams-exchange-online-office-365-etc-15-3-2021/



Großes Kino von Winzigzweich
 

xexex

Fleet Admiral
Dabei seit
Jan. 2010
Beiträge
15.339
Steile These anders ist es nicht zu erklären wieso ein Patch 3 Monate mit dem Ausmaß zurück gehalten wird.
Es ist ganz simpel zu erklären wie man sowas zurückhält, die meisten Angriffe kamen nicht vor dem Stichtag, sondern genau am 03.03 und den darauf folgenden Tagen.

Es mag sein, dass Hafnium vor Wochen/Monaten über diese Lücke Daten ausgespäht hat, die ganzen Webshells für Mining wurden erst überall installiert, nachdem die Lücken öffentlich bekannt wurden und auch der Patch bereit stand.

In der Zeit dazwischen wurden die Patches entwickelt, die eigenen Lösungen abgesichert und höchstwahrscheinlich auch große Hoster und Firmen unter der Hand über die Gefahr informiert.
 

DKK007

Lieutenant
Dabei seit
Nov. 2015
Beiträge
885
Wer den nicht Anfang März gefixt hat, der kann den nur noch Platt machen.

Es wurden schon lange in alle Server Backdoors eingebaut und aktuell rolle die Ransomeware los.
Es war ein richtiger Cyberwar-Angriff.
https://www.heise.de/news/Der-Hafnium-Exchange-Server-Hack-Anatomie-einer-Katastrophe-5077269.html
Der obige Abriss legt nahe, dass dies eine Katastrophe mit Ansage war.

Deren Bestandteile sind: Eine verfehlte Produktpolitik (Exchange in jede Hundehütte), gepaart mit Produktmängeln (Exchange-Server zu patchen erfordert Know-how), in Kombination mit oft ungewarteten und damit über Sicherheitslücken angreifbaren Exchange-Servern. Zu dieser explosiven Gemengelage gesellt sich die Tatsache, dass sich Microsoft doch reichlich Zeit gelassen hat, die kritischen Sicherheits-Updates bereitzustellen.

Diese kamen zunächst nur für aktuelle Systeme, obwohl auch bis Redmond durchgedrungen sein dürfte, dass das viele aktive Server ausschließt. Und das alles krönt Microsoft dann mit der Chuzpe von "vereinzelten Angriffen auf ausgesuchte Ziele" zu sprechen, als längst systematisch gescannt und kompromittiert wurde.

https://www.heise.de/news/Analyse-Exchange-und-die-Cyber-Abschreckungsspirale-5284372.html
Ergänzung ()

Es mag sein, dass Hafnium vor Wochen/Monaten über diese Lücke Daten ausgespäht hat, die ganzen Webshells für Mining wurden erst überall installiert, nachdem die Lücken öffentlich bekannt wurden und auch der Patch bereit stand.

Falsch, die Backdoors kamen schon eher. Wochen eher:

Zitat von https://www.heise.de/news/Der-Hafnium-Exchange-Server-Hack-Anatomie-einer-Katastrophe-5077269.html:
Bereits am 29. Januar 2021 berichtete Trend Micro in einem Blog-Beitrag von Angreifern, die über Schwachstellen eine Webshell als Hintertür auf Exchange-Servern installierten. Der Praktiker hätte es ab diesem Zeitpunkt mit "da brennt die Hütte" umschrieben. Am 2. Februar 2021 warnte auch Volexity Microsoft.
 

xexex

Fleet Admiral
Dabei seit
Jan. 2010
Beiträge
15.339
Dann drücke ich es mal anders aus.... Von ungefähr 40 Servern die ich mir angeschaut habe, waren keine vor dem 03.03 auf irgendeine Art und Weise angegriffen worden, aber fast alle davon auf den Tag genau am 03.03. Wobei man hier auch spezifizieren muss, am 03.03 haben sich einige anscheinend nur "umgesehen" und am 04.03 kamen diverse Angriffe.

Alles was davor kam ist für mich irrelevant und es zeigt sehr gut wieso man solche Lücken nicht sofort an die große Glocke hängt, bevor alle Patches bereitstehen. Das diese Lücken schon lange davor ausgenutzt wurden, dürfte jedem klar sein, sonst wären sie ja nicht aufgefallen. "Richtig" losgegangen ist es aber erst nach der Bekanntgabe.
 
Zuletzt bearbeitet:

derlorenz

Lt. Commander
Dabei seit
März 2011
Beiträge
1.593
Für alle die sich etwas Zeit nehmen und mal schauen wollen, was da denn so passiert ist:

 

Rickmer

Fleet Admiral
Dabei seit
Sep. 2009
Beiträge
14.618
@SV3N Du hast einen kritischen Fehler im Artikel - das Tool installiert keine Patches, nur die Mitigation!

Zitat von Tool-Beschreibung:
This tool is not a replacement for the Exchange security update but is the fastest and easiest way to mitigate the highest risks to internet-connected, on-premises Exchange Servers prior to patching.

Zitat von Beschreibung auf Github:
Question: What mode should I run EOMT.ps1 in by default?

Answer: By default, EOMT.ps1 should be run without any parameters:

This will run the default mode which does the following:
  1. Checks if your server is vulnerable based on the presence of the SU patch or Exchange version.
  2. Downloads and installs the IIS URL rewrite tool (only if vulnerable).
  3. Applies the URL rewrite mitigation (only if vulnerable).
  4. Runs the Microsoft Safety Scanner in "Quick Scan" mode (vulnerable or not).

Das Patching muss weiterhin vom Administrator per Hand durchgeführt werden.
 

Hayda Ministral

Vice Admiral
Dabei seit
Nov. 2017
Beiträge
7.004
Mit einer One-Click-Lösung möchte Microsoft die kritischen Sicherheitslücken, die sogenannten „Hafnium-Exploits“, im Exchange Server 2010, Exchange Server 2013, Exchange Server 2016 sowie Exchange Server 2019 schließen

Leider bleibt die zentrale Frage offen.
Welche OS installiert denn nun dieses Tool, das die kritischen Sicherheitslücken, die sogenannten „Hafnium-Exploits“, im Exchange Server 2010, Exchange Server 2013, Exchange Server 2016 sowie Exchange Server 2019 schließen soll? Oder wird da etwa nur das Problem, der Exchange Serve, deinstalliert ohne eine Alternative zu bieten?
 

Silence999

Cadet 4th Year
Dabei seit
Juli 2005
Beiträge
78
Gut, dass mein AG noch den Exchange Server 2010 sp 3 am Laufen hat. Da kommen die Hacker mit Sicherheit nicht drauf, weil die den wegen dem Alter nicht auf dem Schirm haben! Unser EDV-Dienstleister ist halt ein Fuchs!
 

Bodennebel

Lt. Commander
Dabei seit
Apr. 2019
Beiträge
1.086
Gestern Abend ist ja auch die Azure AD kaputt gegangen und über Stunden ging Weltweit gar nichts.
Habe ich gar nicht mitbekommen. Bei mir gab es keine Probleme. Aber Microsoft schreibt ja selbst:

Starting at approximately 19:15 UTC on 15 Mar 2021, a subset of customers may experience issues authenticating into Microsoft services
Ist der Kelch dieses Mal wohl wieder an mir vorbeigegangen.

Gut, dass mein AG noch den Exchange Server 2010 sp 3 am Laufen hat.
Sarkasmus oder Artikel nicht gelesen?
 

Bodennebel

Lt. Commander
Dabei seit
Apr. 2019
Beiträge
1.086
OK, dann habe ich den Fuchs von EDV-Dienstleister doch richtig interpretiert. :daumen:
 
Top