<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=iso-8859-1"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri",sans-serif;
mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:#0563C1;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:#954F72;
text-decoration:underline;}
span.E-MailFormatvorlage17
{mso-style-type:personal-compose;
font-family:"Calibri",sans-serif;
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri",sans-serif;
mso-fareast-language:EN-US;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 70.85pt 2.0cm 70.85pt;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=DE link="#0563C1" vlink="#954F72"><div class=WordSection1><p class=MsoNormal>Sehr geehrte Damen und Herren,<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>diese E-Mail richtet sich primär an Administratoren bzw. Betreiber von Exchange Servern, die bisher ausschließlich die Security Updates installiert und ihre Exchange Server noch nicht hinsichtlich einer möglichen Kompromittierung untersucht haben.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Relevanter Sachverhalt zusammengefasst:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Auch wenn Sie die Security Updates bereits eingespielt haben und Sie damit - wie Exploit-Tests [1] bestätigen können - aktuell nicht mehr für CVE-2021-26855 [2] anfällig sind, bleiben Systeme, die vor der Installation der Updates erfolgreich kompromittiert wurden durch die Einspielung der Security Updates weiterhin kompromittiert.<o:p></o:p></p><p class=MsoNormal>Von Angreifern installierte Web-Shells können also weiterhin genutzt werden, um beliebigen Programmcode mit hohen Rechten auf dem Exchange-Server auszuführen.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Durch die Auswertung großflächiger Scan-Ergebnisse konnte das LRZ Security Operations Center einige Web-Shells im MWN bereits identifizieren und die Betroffenen benachrichtigen. Lokale Überprüfungen sind jedoch weitaus effektiver als externe Scans, da Dateinamen für Web-Shells vom Angreifer beliebig gewählt werden konnten.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><b>Bitte überprüfen Sie daher – falls noch nicht geschehen – Ihre Exchange Server mittels offizieller [3] Skripte zur Identifizierung von Web-Shells [4][5].<o:p></o:p></b></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Weitere Informationen können Sie der Zusammenfassung der Exchange Schwachstellen des BSI entnehmen [6].<o:p></o:p></p><p class=MsoNormal>Auf dieser Webseite ist auch ein Link [7] zu der Aufzeichnung des BSI-Livestreams "Informationen und Hilfestellungen" vom 11. März 2021 zu finden.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Bitte berücksichtigen Sie auch die Hilfestellung des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) [8], insbesondere die Abschnitte:<o:p></o:p></p><p class=MsoNormal>- B. Überprüfung auf technische Kompromittierung<o:p></o:p></p><p class=MsoNormal>- C. Maßnahmen bei Kompromittierungsverdacht<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Sollten Sie Probleme bei der Bearbeitung haben, melden sich Sie gerne bei uns: abuse@lrz.de <o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Mit freundlichen Grüßen<o:p></o:p></p><p class=MsoNormal>MWN/LRZ Abuse Response Team<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>[1] https://github.com/microsoft/CSS-Exchange/tree/main/Security#http-vuln-cve2021-26855nse<o:p></o:p></p><p class=MsoNormal>[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855<o:p></o:p></p><p class=MsoNormal>[3] https://github.com/microsoft und https://github.com/cert-lv (Label:Verified)<o:p></o:p></p><p class=MsoNormal>[4] https://github.com/cert-lv/exchange_webshell_detection<o:p></o:p></p><p class=MsoNormal>[5] https://github.com/microsoft/CSS-Exchange/tree/main/Security<o:p></o:p></p><p class=MsoNormal>[6] https://www.bsi.bund.de/Exchange-Schwachstellen<o:p></o:p></p><p class=MsoNormal>[7] https://youtu.be/QcqRRc-VoB0?t=92<o:p></o:p></p><p class=MsoNormal>[8] https://lda.bayern.de/media/themen/exchange_security_check_incident_response.pdf<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span lang=EN-US>-------------------------------------------------------------------------------<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>Dear Sir or Madam,<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>This e-mail is primarily intended for administrators of Exchange servers who have only installed the security updates so far, and have not yet examined their Exchange servers with regards to a potential compromise.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>Summary of relevant facts:<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>Even if you have already installed the security updates, and are therefore no longer vulnerable to CVE-2021-26855 [2] - as confirmed by exploit tests [1] - systems that were successfully compromised before the updates were installed, remain compromised even after the security updates were installed.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>Web shells installed by attackers can therefore still be used to execute arbitrary code with high privileges on the Exchange server.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>By evaluating large-scale scan results, the LRZ Security Operations Center has already been able to identify some web shells in the MWN and notify those affected. However, local scans are far more effective than external scans, as file names for web shells could be chosen arbitrarily by the attacker.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><b><span lang=EN-US>Therefore, if you have not already done so, please scan your Exchange servers using official [3] scripts to identify web shells [4][5].<o:p></o:p></span></b></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>More information can be found in the BSI's summary of Exchange vulnerabilities [6].<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>This web page also provides a link [7] to the recording of BSI's March 11, 2021 "Information and Assistance" livestream.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>Please also consider the assistance provided by the Bavarian State Office for Data Protection Supervision (BayLDA) [8], in particular sections:<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>- B. Checking for technical compromise<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>- C. Measures in case of suspected compromise<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>If you have any problems or require assistance, please contact us: abuse@lrz.de <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>Yours sincerely<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>MWN/LRZ Abuse Response Team<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>[1] https://github.com/microsoft/CSS-Exchange/tree/main/Security#http-vuln-cve2021-26855nse<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855<o:p></o:p></span></p><p class=MsoNormal>[3] https://github.com/microsoft und https://github.com/cert-lv (Label:Verified)<o:p></o:p></p><p class=MsoNormal>[4] https://github.com/cert-lv/exchange_webshell_detection<o:p></o:p></p><p class=MsoNormal>[5] https://github.com/microsoft/CSS-Exchange/tree/main/Security<o:p></o:p></p><p class=MsoNormal>[6] https://www.bsi.bund.de/Exchange-Schwachstellen<o:p></o:p></p><p class=MsoNormal>[7] https://youtu.be/QcqRRc-VoB0?t=92<o:p></o:p></p><p class=MsoNormal>[8] https://lda.bayern.de/media/themen/exchange_security_check_incident_response.pdf<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p></div></body></html>