Comments 20
<сарказм>Фух, слава б*гу у меня Exchange 2010, а его нет в списке</сарказм>
Если кто-то будет ставить обновление msp пакетом, учтите — Майкрософт умудрились это сломать.
Можно ставить либо из Windows Update, либо запустить админскую консоль с повышенными привилегиями и устанавливать пакет через неё.
Они это сломали уже лет 5 назад как минимум, если не 8.
Похоже это ограничение Windows Installer, который даёт на выбор повышение привилегий или доступ к сети.
Я так понимаю, что заломанные экченжи торчали голым задом прямо в белый свет? А иначе как с них попадать с веб-шелла?
Тут где то был пост про дамочку у которой на десктопе около тыщи картинок и она жалилась, что комп притормаживает. Думается, таже опера — сдуру можно и… сломать. Делай, как в голову стукнуло, а потом плачься что все плохо.
Тут где то был пост про дамочку у которой на десктопе около тыщи картинок и она жалилась, что комп притормаживает. Думается, таже опера — сдуру можно и… сломать. Делай, как в голову стукнуло, а потом плачься что все плохо.
UFO just landed and posted this here
Ну так OWA обычно и торчат в интернет, редко кто сейчас делает доступ к почте только из корпоративной сети. А даже WAF вряд ли спас бы тут, бага в обработке http запросов.
Как раз RRAS WAP и спас бы, потому что никто бы ни до какого Exchange/OWA не добрался бы. И VPN спас бы. И отсутствие у Prod/DMZ сервера доступа на скачивание payload из Интернета.
MS к сожалению, как это у них нынче принято, раскрывает очень мало технических деталей.
Судя по тому, что опубликовано — общие описания и как искать следы взлома (это — единственные технические детали), первая, самая важная, узявимость (удаленная через HTTPS без аутентификации, которая позволяет выполнить любой HTTPS-запрос с учетными данными сервера Exchange) идет в протоколе доступа к общим папкам через EWS, и работает она только в Exch2013 и выше, потому что существенно опирается на его архитектуру веб-доступа Proxy+BackEnd и на его архитектуру общих папок. То есть, Exchange 2010 однозначно ей не подвержен.
Подвержены ли ей организации, в которых общих папок нет — не совсем понятно (скорее всего — подвержены, т.к. этот компонент — необязательный, по умолчанию не активируется, и если бы без него атака была бы невозможной, то это было бы наверняка в Mitigating Factors).
Но самое главное, что неясно — возможна ли атака, если доступ к EWS извне закрыт: вообще-то EWS нужен, в основном, для Outlook, браузерные (OWA) и ActiveSync (классические мобильные) его не используют (но вот Outlook для IOS/Android в гибридном режиме использует именно его). Если OWA и ECP к этой атаке неуязвимы, то это может существенно изменить дело. И, в любом случае, OWA с ECP могут быть штатно опубликованы через Windows Appliction Proxy с преаутентификацией — и тогда эта атака не сработает без аутентификации сработать не должна.
Вторая уязвимость локальная и с использованием Unified messaging — по идее, в Exch2019 работать не должна.
А третья и четвертая узявимости — это, похоже, повышение привилегий с целью распространения по всей организации Exchange после успешной первой или второй атаки.
Как-то так со стороны видится.
Судя по тому, что опубликовано — общие описания и как искать следы взлома (это — единственные технические детали), первая, самая важная, узявимость (удаленная через HTTPS без аутентификации, которая позволяет выполнить любой HTTPS-запрос с учетными данными сервера Exchange) идет в протоколе доступа к общим папкам через EWS, и работает она только в Exch2013 и выше, потому что существенно опирается на его архитектуру веб-доступа Proxy+BackEnd и на его архитектуру общих папок. То есть, Exchange 2010 однозначно ей не подвержен.
Подвержены ли ей организации, в которых общих папок нет — не совсем понятно (скорее всего — подвержены, т.к. этот компонент — необязательный, по умолчанию не активируется, и если бы без него атака была бы невозможной, то это было бы наверняка в Mitigating Factors).
Но самое главное, что неясно — возможна ли атака, если доступ к EWS извне закрыт: вообще-то EWS нужен, в основном, для Outlook, браузерные (OWA) и ActiveSync (классические мобильные) его не используют (но вот Outlook для IOS/Android в гибридном режиме использует именно его). Если OWA и ECP к этой атаке неуязвимы, то это может существенно изменить дело. И, в любом случае, OWA с ECP могут быть штатно опубликованы через Windows Appliction Proxy с преаутентификацией — и тогда эта атака не сработает без аутентификации сработать не должна.
Вторая уязвимость локальная и с использованием Unified messaging — по идее, в Exch2019 работать не должна.
А третья и четвертая узявимости — это, похоже, повышение привилегий с целью распространения по всей организации Exchange после успешной первой или второй атаки.
Как-то так со стороны видится.
Я так понимаю, что заломанные экченжи торчали голым задом прямо в белый свет? А иначе как с них попадать с веб-шелла?
Например, прослушивать команды по HTTP на том же 443 порту, но на другом URL: это вполне можно сделать через драйвер http.sys, не мешая работать IIS (например, AD FS, который так делает, вполне себе живет с IIS на одном сервере)
После установки обновлений перестал работать imap и pop на одном из серверов.
Всё норм, оказалось компоненты перешли в состояние Inactive и достаточно было их включить.
Всё норм, оказалось компоненты перешли в состояние Inactive и достаточно было их включить.
странно, после установки заплатки скрипт продолжает ругаться на уязвимость CVE-2021-26855
Sign up to leave a comment.
Важно! Внеплановые обновления безопасности Microsoft для Exchange от 2 марта 2021