There are currently still many Exchange servers that have not been provided with the urgently needed security updates. This is not just about the ProxyLogon and ProxyShell vulnerabilities, which have already been in April by corresponding updates, but now also by the vulnerability CVE-2021-42321, which is associated with the latest Exchange updates was closed.
The exploitation of ProxyLogon and ProxyShell has been reported for some time. TrendMicro, for example, is currently warning about the exploitation of the vulnerabilities:
TrendMicro has now observed that the above vulnerabilities are being used to send spam mails from their own Exchange server to users. For many users, the most important criterion for recognizing an email as spam or malware is therefore removed: The sender e-mail address comes from their own company. Most spam filters can also be bypassed in this way, as your own Exchange server is usually configured as an exception.
But the CERT-Bund has also already pointed out many vulnerable Exchange servers.
An exploit for the vulnerability CVE-2021-42321 is now publicly available:
So it won't be long before this vulnerability is also attacked automatically on a massive scale.
Exchange servers have very far-reaching authorizations in the Active Directory, so it is essential to install the available updates. There is a risk that ransomware could also find its way into the network by exploiting the vulnerabilities. CVE-2021-42321 offers all the prerequisites for this, in this case no user action is necessary and due to the far-reaching authorizations, ransomware could spread throughout the entire network. Due to Autodiscover, Exchange servers are very easy to find on the Internet, which makes automated and mass attacks even easier.
Another important note: Microsoft only ever publishes security updates for the current and previous CU. The updates from November are therefore available for Exchange 2016 CU21 and CU22, for example. However, this does not mean that CU20 or lower is not affected by the vulnerability. Anyone running Exchange Server with an older CU must therefore first install a supported CU; for Exchange 2016, for example, this is the current CU22. The available security update must then be installed.
Since the beginning of the year, there have been several critical vulnerabilities in Exchange Server, which are also being actively exploited. It is therefore essential that the available updates are installed. Here is a screenshot from a reader showing what happens if the latest updates are not installed on an Exchange Server:
Incidentally, the entire Active Directory had to be reinstalled in this case.
Also, ich hatte bei den aktuellen SUs (und auch denen davor, aber nicht immer) das Problem, dass nach der Installation (die ohne Fehler durchlief) ECP oder OWA nicht verfügbar waren.
Der Fix dafür war, das Update einfach erneut auszuführen. Ich hatte extra darauf geachtet, ich war auch beim ersten Mal Admin als ich den Installer aus der CMD angestoßen habe.
Anscheinend sind alle guten Dinge jetzt immer zwei?
Kann ich so nicht bestätigen bei unseren 2016er DAG.
Ich vermute eher, dass es an der Konfiguration des Server und des Exchange Server liegt. Auch die Zertifikate können eine Rolle spielen.
Das Problem ist ja, dass jeder bei Exchange ein etwas anderes Setup hat. Und das harmoniert mal mehr oder mal weniger mit den Updates.
Mit allem was 2021 passiert ist, ist ja öffentlich geworden, dass die komplette Sicherheitsarchitektur für alles was bei Exchange über Port 443 läuft, grauenhaft ist. Orange Tsai hat es wunderbar erklärt und vorgeführt. Andere sind in seine Fußstapfen getreten. MS will aber nicht alles neu machen, also wir herum gedoktort und es kommt dann eine Funktion wie die automatische „Mitigation“.
Die Sicherheitsprobleme von Exchange liegen aber viel tiefer und MS hat kein Interesse mehr sich diese wirklich gründlich vorzunehmen.
Die Cloud ist nicht betroffen, weil da stehen andere Sicherheitssysteme davor, die die Angriffe unterbinden. Wie eben bei großen Firmen auch. Das Nachsehen haben die mittleren und kleinen Firmen deren Sicherheitskosten explodieren wenn die Exchange vor Ort behalten möchten.
Bei uns ist das aber auch langsam Schnee von gestern. Wir haben alle Exchange Server in die MS Cloud verbannt. Es war einfach nicht mehr sicher vor Ort zu betreiben und die Mitarbeiter wollten sich von Exchange nicht trennen.
Bis zur endgültigen Dekommisionierung müssen wir aber weiter updaten aus Sicherheitsgründen, auch wenn die Server von außen nicht mehr erreichbar sind. Die Exchange Präsenz tilgt man nicht einfach so aus einem Windows Netzwerk…
Ich lasse auch immer den Health Checker laufen, bin aber bei CVE-2021-34470 mächtig verwirrt.
Ich habe aktuelle CU und auch alle Patches auf unserem Exchange 2013, hatte nach dem Patch für die 34470 im Juli auch das Schema Update gemacht, trotzdem bringt mir der HealthChecker weiterhin folgende Meldung:
Security Vulnerability: CVE-2021-34470
PrepareSchema required: https://aka.ms/HC-July21SU
Auch habe ich jetzt nach dem aktuellesten Patch mit dem neuen Setup nochmal ein PrepareSchema gemacht, weiterhin diese Meldung. Auch das PS Skript Test-CVE-2021-34470.ps1meldet das die Lücke noch offen ist.
Besonderheit eventuell:
Unsere Exchange 2013 ist in einer Hybridumgebung weshalb „setup.exe /IAcceptExchangeServerLicenseTerms /PrepareSchema“ nicht funktioniert, ich muss laut allen Info die ich gefunden habe den Umweg über:
„Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareAD /TenantOrganizationConfig C:\Source\MyTenantOrganizationConfig.xml“ gehen (nachdem ich mir die *.xml über die ExchangeOnline Shell gezogen habe / alles natürlich in einer elevated command prompt)
Hat hier eventuell jemand eine Idee?
Hallo Case,
ich weiß, dass es nicht das sein wird was du hören willst, aber wäre ein Upgrade (2019) oder der Schritt komplett in die Cloud keine Alternative?
2013 ist ja schon sehr betagt. Active Directory ist da auch schon viel weiter mit Server 2016, 2019 und jetzt sogar 2022.
Microsoft interessiert die Kompatibilität mit alten Systemen sehr wenig. Zuviel Aufwand für zu wenig Nutzen.
Wir haben uns entschieden von 2016 CU22 in die MS Cloud zu gehen, weil wir keine andere tragbare Lösung gesehen haben. Schlecht weil wir MS für deren schlechte Arbeit auch noch belohnen, aber wir kriegen die Mitarbeiter nicht von Exchange runter.
Gruß
Alex
Genau deswegen lasse ich regelmäßig bzw. nach jedem Update den HealthChecker durchlaufen. Das gibt dann immer schön Auskunft darüber, ob man die aktuellen Patches auch installiert hat. Gerade zuletzt gab es da durch sich überschneidende CU und SU Releases vermehrt Unklarheit im www zu lesen(siehe Frankys Hinweis im Text oben).
Ich frage mich ehrlich welche Firma oder welcher Admin bis jetzt diese Bedrohung der Exchange Server (aus den Medien etc.) NICHT mitbekommen hat. Wenn so viele Exchange Server noch Extern verfügbar und angreifbar sind dann habe ich kein Mitleid und wünsche den Hackern viel Spaß.
Was sollen den die Leute machen?
Ich habe bei Hafnium und ProxyShell viel Abhilfe bei diversen Firmen geleistet. Die Firmen haben einfach nicht die Ressourcen oder wollten die notwendigen Ressourcen nicht dafür einsetzten.
Meine Hauptfirma ist von Hafnium auch getroffen gewesen. Obwohl wir binnen Stunden nach bekanntwerden der Lücken aktiv waren und Best Practices hatten. Zwar hat es kein erfolgreiches Eindrigen (Webshells oder so) gegeben, aber wir mussten alle Exchange Server nach und nach aus Sicherheit opfern. Zum damaligen Zeitpunkt waren ja die Angriffswege auch noch nicht genau dokumentiert. Also mussten wir vom Wort Case ausgehen. Wir haben anschließend drei sehr unruhige Monate gehabt wo wir den ganzen Traffic in und aus der Firma mittels SNORT und Konsorten überwacht haben nachdem wir den genauen Angrifsvektor des Angreifers nachvollziehen konnten, der daran interessiert war Cobalt Strike ins Netzwerk einzuschleusen. Im Nachhinein ist er beim zweiten Schritt von fünf gestoppt worden, aber das weiß du mit Sicherheit erst mit der Zeit ob die zweite, dritte und vierte Verteidigungslinien gehalten haben.
Das Exchange Server ein solches Sicherheitsrisiko im Netz darstellt hat sich ja erst in diesem Jahr so richtig gezeigt. Viele Firmen brauchen aber sehr lange um sowas zu begreifen.
Und ich hätte mir auch nicht träumen lassen, dass es so einfach sein könnte Exchange anzugreifen.
Die Sicherheitslücken waren uns allen nicht bewusst, aber bisher habe ich alle Exchange Server (meistens aus DAG Gründen) immer hinter einem Kemp LoadMaster mit aktiviertem ESP ans Netz gebracht. Das würde ich auch jedem empfhehlen! Von meinen ca. 30 Exchange Kunden, in den unterschiedlichsten Versionen, war niemand betroffen.
Deine Kunden sind nicht wegen Kemp LoadMaster so glimpflich davon gekommen, sondern weil diese Pre-Auth im Einsatz hatten. Vor-Authentifizierung war der einzige Schutz gegen die Angriffe :)
Die meisten Exchange die ich gesehen habe waren hinter WAFs, aber das hat alles nichts gebracht. Genauso die die spezielle Abwehrprogramme außer Defender lokal hatten.
Alle waren blind und das einzige was da geholfen hätte wäre die Vor-Authentifizierung. Nur das eben viele Firmen das nicht machen, wir auch nicht, weil wir mit so-was keine guten Erfahrungen gemacht haben.
Wird nämlich das Vor-Authentifizierungssystem gehackt, und es gibt da Praxisbeispiele, dann gute Nacht. Und Systeme die Vor-Authentifizierung drin haben und als sicher anzusehen sind kosten dann soviel, dass da fast kein Mittelständler sich darauf einlassen will.
Vor allem wird es schwer der Geschäftsführung zu erklären, dass dies wegen Exchange nötig ist… Da heißt es ganz schnell „Exchange in die Cloud“, fertig. Habe ich in den letzten Monaten sehr oft erlebt.
Die einzig sichere Lösung ist kein Exchange im Netzwerk zu haben. Nur dann kommt das Problem der Internetanbindung von Dritt-Welt Niveau in Deutschland auf. Auch köstlich was ich da in der Pandemie alles gesehen habe :D
Ich finde deine Antwort ziemlich naiv gedacht und beispielhaft für unser empathieloses Miteinander. Jahrelange wurde in jedem Unternehmen zuerst an der IT gespart. Ich kenne hunderte Fälle wo vor ALllem die Exchange-Admins völlig unterbesetzt sind und dann zusätzlich das ganze Desaster bewältigen müssen und dann an alten Systemen für die nie jemand Geld ausgeben möchte.
Bei uns ist alles auf dem aktuellsten Stand, nur wenn ich solche Antworten lese, kann ich nur mit dem Kopf schütteln…
Danke Frank für deine Tipps und Anleitungen.
Das Problem sind aber genau diese IT Leute die so etwas mit sich machen lassen.
Was bringt es dir eine tickende Zeitbombe zu warten, wenn du genau weiß, dass du der Verantwortliche sein wirst, sobald die hochgeht.
Gerade in der IT Branche ist ja die Nachfrage hoch, da sollte man nicht zögern bei solchen Zuständen das weite zu suchen. Denn wenn du das nicht tust, dann bist du die oder der, wo am Ende der schwarze Peter landet.
Ich habe das vielen meiner ehemaligen Kunden so kommuniziert über die letzten Jahre. Hat die wenigsten interessiert bis Anfang dieses Jahres. Seitdem höre ich die klagen, mehrere haben bei mir nach Hilfe angefragt. Hilfe ist geleistet worden, aber natürlich zu Marktüblichen Konditionen von Incident Response.
Franks Blog kann man nicht genug loben, da hast du recht. Habe da drin bis jetzt immer eine Antwort zu meinen Fragen zu Exchange gefunden.