Комментарии 20
<сарказм>Фух, слава б*гу у меня Exchange 2010, а его нет в списке</сарказм>
Exchange 2010 снят с поддержки и для него не будет исправление уязвимости…
Если кто-то будет ставить обновление msp пакетом, учтите — Майкрософт умудрились это сломать.
Можно ставить либо из Windows Update, либо запустить админскую консоль с повышенными привилегиями и устанавливать пакет через неё.
Они это сломали уже лет 5 назад как минимум, если не 8.
Похоже это ограничение Windows Installer, который даёт на выбор повышение привилегий или доступ к сети.
Я так понимаю, что заломанные экченжи торчали голым задом прямо в белый свет? А иначе как с них попадать с веб-шелла?
Тут где то был пост про дамочку у которой на десктопе около тыщи картинок и она жалилась, что комп притормаживает. Думается, таже опера — сдуру можно и… сломать. Делай, как в голову стукнуло, а потом плачься что все плохо.
Тут где то был пост про дамочку у которой на десктопе около тыщи картинок и она жалилась, что комп притормаживает. Думается, таже опера — сдуру можно и… сломать. Делай, как в голову стукнуло, а потом плачься что все плохо.
НЛО прилетело и опубликовало эту надпись здесь
Ну так OWA обычно и торчат в интернет, редко кто сейчас делает доступ к почте только из корпоративной сети. А даже WAF вряд ли спас бы тут, бага в обработке http запросов.
Как раз RRAS WAP и спас бы, потому что никто бы ни до какого Exchange/OWA не добрался бы. И VPN спас бы. И отсутствие у Prod/DMZ сервера доступа на скачивание payload из Интернета.
MS к сожалению, как это у них нынче принято, раскрывает очень мало технических деталей.
Судя по тому, что опубликовано — общие описания и как искать следы взлома (это — единственные технические детали), первая, самая важная, узявимость (удаленная через HTTPS без аутентификации, которая позволяет выполнить любой HTTPS-запрос с учетными данными сервера Exchange) идет в протоколе доступа к общим папкам через EWS, и работает она только в Exch2013 и выше, потому что существенно опирается на его архитектуру веб-доступа Proxy+BackEnd и на его архитектуру общих папок. То есть, Exchange 2010 однозначно ей не подвержен.
Подвержены ли ей организации, в которых общих папок нет — не совсем понятно (скорее всего — подвержены, т.к. этот компонент — необязательный, по умолчанию не активируется, и если бы без него атака была бы невозможной, то это было бы наверняка в Mitigating Factors).
Но самое главное, что неясно — возможна ли атака, если доступ к EWS извне закрыт: вообще-то EWS нужен, в основном, для Outlook, браузерные (OWA) и ActiveSync (классические мобильные) его не используют (но вот Outlook для IOS/Android в гибридном режиме использует именно его). Если OWA и ECP к этой атаке неуязвимы, то это может существенно изменить дело. И, в любом случае, OWA с ECP могут быть штатно опубликованы через Windows Appliction Proxy с преаутентификацией — и тогда эта атака не сработает без аутентификации сработать не должна.
Вторая уязвимость локальная и с использованием Unified messaging — по идее, в Exch2019 работать не должна.
А третья и четвертая узявимости — это, похоже, повышение привилегий с целью распространения по всей организации Exchange после успешной первой или второй атаки.
Как-то так со стороны видится.
Судя по тому, что опубликовано — общие описания и как искать следы взлома (это — единственные технические детали), первая, самая важная, узявимость (удаленная через HTTPS без аутентификации, которая позволяет выполнить любой HTTPS-запрос с учетными данными сервера Exchange) идет в протоколе доступа к общим папкам через EWS, и работает она только в Exch2013 и выше, потому что существенно опирается на его архитектуру веб-доступа Proxy+BackEnd и на его архитектуру общих папок. То есть, Exchange 2010 однозначно ей не подвержен.
Подвержены ли ей организации, в которых общих папок нет — не совсем понятно (скорее всего — подвержены, т.к. этот компонент — необязательный, по умолчанию не активируется, и если бы без него атака была бы невозможной, то это было бы наверняка в Mitigating Factors).
Но самое главное, что неясно — возможна ли атака, если доступ к EWS извне закрыт: вообще-то EWS нужен, в основном, для Outlook, браузерные (OWA) и ActiveSync (классические мобильные) его не используют (но вот Outlook для IOS/Android в гибридном режиме использует именно его). Если OWA и ECP к этой атаке неуязвимы, то это может существенно изменить дело. И, в любом случае, OWA с ECP могут быть штатно опубликованы через Windows Appliction Proxy с преаутентификацией — и тогда эта атака не сработает без аутентификации сработать не должна.
Вторая уязвимость локальная и с использованием Unified messaging — по идее, в Exch2019 работать не должна.
А третья и четвертая узявимости — это, похоже, повышение привилегий с целью распространения по всей организации Exchange после успешной первой или второй атаки.
Как-то так со стороны видится.
Я так понимаю, что заломанные экченжи торчали голым задом прямо в белый свет? А иначе как с них попадать с веб-шелла?
Например, прослушивать команды по HTTP на том же 443 порту, но на другом URL: это вполне можно сделать через драйвер http.sys, не мешая работать IIS (например, AD FS, который так делает, вполне себе живет с IIS на одном сервере)
После установки обновлений перестал работать imap и pop на одном из серверов.
Всё норм, оказалось компоненты перешли в состояние Inactive и достаточно было их включить.
Всё норм, оказалось компоненты перешли в состояние Inactive и достаточно было их включить.
странно, после установки заплатки скрипт продолжает ругаться на уязвимость CVE-2021-26855
Из режима администратора (с повышенными привилегиями) ставили?
А то про эту заплатку были сообщения, что если ставить ее из обычного режима (с урезанными UAC привилегиями) то она может поставиться не до конца.
А то про эту заплатку были сообщения, что если ставить ее из обычного режима (с урезанными UAC привилегиями) то она может поставиться не до конца.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Важно! Внеплановые обновления безопасности Microsoft для Exchange от 2 марта 2021