Handlungshinweise zu den kritischen Sicherheitslücken in Exchange

March 19, 2021

      Sehr geehrte Damen und Herren,

diese E-Mail richtet sich primär an Administratoren bzw. Betreiber von
Exchange Servern, die bisher ausschließlich die Security Updates installiert
und ihre Exchange Server noch nicht hinsichtlich einer möglichen
Kompromittierung untersucht haben.

Relevanter Sachverhalt zusammengefasst:

Auch wenn Sie die Security Updates bereits eingespielt haben und Sie damit -
wie Exploit-Tests [1] bestätigen können - aktuell nicht mehr für
CVE-2021-26855 [2] anfällig sind, bleiben Systeme, die vor der Installation
der Updates erfolgreich kompromittiert wurden durch die Einspielung der
Security Updates weiterhin kompromittiert.

Von Angreifern installierte Web-Shells können also weiterhin genutzt werden,
um beliebigen Programmcode mit hohen Rechten auf dem Exchange-Server
auszuführen.

Durch die Auswertung großflächiger Scan-Ergebnisse konnte das LRZ Security
Operations Center einige Web-Shells im MWN bereits identifizieren und die
Betroffenen benachrichtigen. Lokale Überprüfungen sind jedoch weitaus
effektiver als externe Scans, da Dateinamen für Web-Shells vom Angreifer
beliebig gewählt werden konnten.

Bitte überprüfen Sie daher  falls noch nicht geschehen  Ihre Exchange
Server mittels offizieller [3] Skripte zur Identifizierung von Web-Shells
[4][5].

Weitere Informationen können Sie der Zusammenfassung der Exchange
Schwachstellen des BSI entnehmen [6].

Auf dieser Webseite ist auch ein Link [7] zu der Aufzeichnung des
BSI-Livestreams "Informationen und Hilfestellungen" vom 11. März 2021 zu
finden.

Bitte berücksichtigen Sie auch die Hilfestellung des Bayerischen Landesamt
für Datenschutzaufsicht (BayLDA) [8], insbesondere die Abschnitte:

-    B. Überprüfung auf technische Kompromittierung

-    C. Maßnahmen bei Kompromittierungsverdacht

Sollten Sie Probleme bei der Bearbeitung haben, melden sich Sie gerne bei
uns: abuse@lrz.de 

Mit freundlichen Grüßen

MWN/LRZ Abuse Response Team

[1]
https://github.com/microsoft/CSS-Exchange/tree/main/Security#http-vuln-cve20
21-26855nse

[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

[3] https://github.com/microsoft und https://github.com/cert-lv
(Label:Verified)

[4] https://github.com/cert-lv/exchange_webshell_detection

[5] https://github.com/microsoft/CSS-Exchange/tree/main/Security

[6] https://www.bsi.bund.de/Exchange-Schwachstellen

[7] https://youtu.be/QcqRRc-VoB0?t=92

[8]
https://lda.bayern.de/media/themen/exchange_security_check_incident_response
.pdf

----------------------------------------------------------------------------
---

Dear Sir or Madam,

This e-mail is primarily intended for administrators of Exchange servers who
have only installed the security updates so far, and have not yet examined
their Exchange servers with regards to a potential compromise.

Summary of relevant facts:

Even if you have already installed the security updates, and are therefore
no longer vulnerable to CVE-2021-26855 [2] - as confirmed by exploit tests
[1] - systems that were successfully compromised before the updates were
installed, remain compromised even after the security updates were
installed.

Web shells installed by attackers can therefore still be used to execute
arbitrary code with high privileges on the Exchange server.

By evaluating large-scale scan results, the LRZ Security Operations Center
has already been able to identify some web shells in the MWN and notify
those affected. However, local scans are far more effective than external
scans, as file names for web shells could be chosen arbitrarily by the
attacker.

Therefore, if you have not already done so, please scan your Exchange
servers using official [3] scripts to identify web shells [4][5].

More information can be found in the BSI's summary of Exchange
vulnerabilities [6].

This web page also provides a link [7] to the recording of BSI's March 11,
2021 "Information and Assistance" livestream.

Please also consider the assistance provided by the Bavarian State Office
for Data Protection Supervision (BayLDA) [8], in particular sections:

-    B. Checking for technical compromise

-    C. Measures in case of suspected compromise

If you have any problems or require assistance, please contact us:
abuse@lrz.de 

Yours sincerely

MWN/LRZ Abuse Response Team

[1]
https://github.com/microsoft/CSS-Exchange/tree/main/Security#http-vuln-cve20
21-26855nse

[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

[3] https://github.com/microsoft und https://github.com/cert-lv
(Label:Verified)

[4] https://github.com/cert-lv/exchange_webshell_detection

[5] https://github.com/microsoft/CSS-Exchange/tree/main/Security

[6] https://www.bsi.bund.de/Exchange-Schwachstellen

[7] https://youtu.be/QcqRRc-VoB0?t=92

[8]
https://lda.bayern.de/media/themen/exchange_security_check_incident_response
.pdf

Handlungshinweise zu den kritischen Sicherheitslücken in Exchange

Tröbs, Helmut