Pwn2Own 2021

Drei Meldungen von erfolgreichen Exploits gegen Exchange und weiterer Exploits gegen andere Produkte sollten Administratoren hellhörig werden lassen. Ob die Lücken tatsächlich im realen Betrieb missbraucht werden können, ist unwichtig, sobald die Updates öffentlich sind. Mit den Updates kann auch die "böse Seite" den Code auf die Lücken untersuchen.

Die im PWN2OWN-Wettbewerb genutzten Lücken werden erst durch die Security Updates vom 11. Mai 2021 gestopft. Nach dem Patch ist vor dem Patch!

Das Update verändert Einstellungen in der PowerShell. Diverse eigene Powershell-Automatisierungs-Skripte oder auch kommerzielle Monitoring-Lösungen (z.B. PRTG) funktionieren erst mit Anpassungen. Siehe auch Funktionseinschränkungen und https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617

Die Seite wird laufend aktualisiert.

Updates 11. Mai

Die April-Updates haben einige Exchange Lücken gestopft, die aber anscheinend nichts mit PWD2OWN zu tun hatten aber nicht weniger kritisch waren. Am 11. Mai 2021 wurden dann die seit Pwd2Own-Lücken korrigiert. Sie sind anfangs noch nicht kritisch, da Sie bislang nicht aktiv ausgenutzt wurden und der Exploit nicht öffentlich ist. Mit den Updates haben nun aber auch die Angreifer einen Code zum analysieren und daher sollten sie zeitnah die Updates installieren.

Beachten Sie, dass anders als bei Hafnium Exploit es keine Updates mehr für Exchange 2010 oder frühere CU-Stände von 2013/2016/2019 gibt. Sie müssen ihren Exchange Server daher auf einen unterstützten CU-Level bringen.

Microsoft Exchange Server 2019 Cumulative Update 9 (155MB)
http://www.microsoft.com/download/details.aspx?familyid=9536f4a0-838b-40a6-b625-36cd7a6229a1

Microsoft Exchange Server 2019 Cumulative Update 8 (155MB)
http://www.microsoft.com/download/details.aspx?familyid=0ff8a768-1dfb-4d50-acd4-87f5a1b34e5f

Microsoft Exchange Server 2016 Cumulative Update 19 (151 MB)
http://www.microsoft.com/download/details.aspx?familyid=68b339e9-3040-4da8-8e57-6fd325cfa9ee

Microsoft Exchange Server 2016 Cumulative Update 20 (151 MB)
http://www.microsoft.com/download/details.aspx?familyid=e8857a66-5eb5-4b0e-b938-07eb17c3af1a

Microsoft Exchange Server 2013 Cumulative Update 23 (79MB)
http://www.microsoft.com/download/details.aspx?familyid=91b8d31b-dcd8-4e3c-a262-8229a0d060d4

Weiterführende Informationen finden Sie auf

Das April-Rennen beginnt!

Am 13.4.2021 um 10.01 AM (= 19:01 deutsche Zeit) hat Microsoft folgenden Artikel veröffentlicht:

In dem Security Updates sind wieder vier (4!) Updates enthalten, die allesamt kritische "Base Score Metrics" haben:

Angreifer können Sie über Netzwerk ohne Rechte oder Interaktion des Anwender mit einfachen Mitteln ausnutzen. Auch wenn die Lücke aktuell noch nicht ausgenutzt wird, sollten Sie nicht warten:

Vulnerabilities addressed in the April 2021 security updates were responsibly reported to Microsoft by a security partner. Although we are not aware of any active exploits in the wild, our recommendation is to install these updates immediately to protect your environment.
Quelle https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617

Denn nun werden auch alle Malware-Autoren die Korrekturen untersuchen um selbst die Lücke ausnutzen zu können. Es wird also nicht lange dauern, bis erste Angriffe auf "ungepatchte" Server anstehen und der CVSS-Schweregrad ist alles andere als unkritisch.

Microsoft beschränkt sich auf der Seite auf die Links zu den Updates und es sind, wie erwartet, nur die offizielle unterstützten Exchange Patchstände. Hier die Build-Nummern nach dem installierten Patch.

Exchange Aktuell N-1
2013

CU23: 15.0.1497.15

https://www.microsoft.com/en-us/download/details.aspx?id=103000

Entfällt
2016

CU20: 15.1.2242.8
https://www.microsoft.com/en-us/download/details.aspx?id=103002

CU19: 15.1.2176.12
https://www.microsoft.com/en-us/download/details.aspx?id=103001
2019

CU9: 15.2.858.10

https://www.microsoft.com/en-us/download/details.aspx?id=103004

CU8: 15.2.792.13

https://www.microsoft.com/en-us/download/details.aspx?id=103003

Die älteren Patchstände sind sicher auch verwundbar aber es gibt (noch) keine Updates dafür. Sie müssen in dem Fall zuerst Exchange auf das aktuelle CU bringen und dann das Security Update installieren.

Exchange 2010 ist angeblich nicht betroffen. Auf meinem Exchange 2016 Server wurde das Updates bei einer direkten Suche von Microsoft Online angezeigt.

Installieren Sie das Updates NICHT über die Windows Update-Funktion sondern manuell als Administrator aus einer eine "Elevated Shell"

Aus meiner Sicht sollten Sie folgende Reihenfolge einhalten:

  1. Exchange in Maintenance setzen
    Bei korrektem Setup wird er seine Queues leeren, keine Verbindungen mehr annehmen und DAG-Datenbanken schwenken
  2. Server durchstarten
    Damit sind "pending restarts" gleich mit gelöst aber vor allem gibt es keine hängenden Prozesse oder gesperrte Dateien.
  3. Update als Admin in Elevated Shell installieren
    Bitte nicht über Windows Update. Man hat da keine GUI und sieht keine Fehler und vor allem hat LocalSystem nicht immer alle Rechte, z.B. bei einem Schema Updates etc.
  4. Server durchstarten
    Nicht immer sagt das Setup am Ende, dass ein Reboot erforderlich ist. Machen Sie ihn dennoch
  5. Exchange aus Maintenance holen
    Nun nehmen Sie den Server wieder geplant in Betrieb

Eine ausführlichere Beschreibung gibt es auf Exchange 2016 Update Checkliste und Exchange direktes Update

A Microsoft spokesperson said: “Vulnerabilities reported as part of the Pwn2Own contest are disclosed responsibly and confidentially. We review all reports and will take appropriate action as needed to help keep customers protected.”
Quelle: https://www.forbes.com/sites/thomasbrewster/2021/04/08/microsoft-teams-and-zoom-hacked-in-1-million-competition/

Neue Schwachstellen in Microsoft Exchange Server CSW-Nr. 2021-207541-1032, Version 1.0, 13.04.2021
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-207541-1032.pdf?__blob=publicationFile&v=2

Funktionseinschränkungen

Allerdings verändert das Sicherheitsupdate auch das Verhalten der ein oder andere Schnittstelle. Aufgrund des Zeitdrucks konnte Microsoft nicht alle Kombinationen durchtesten. Insbesondere Remote PowerShell und z.B. PRTG-Sensoren sind davon betroffen.

As long as the code in question uses .invoke() to run the command on the server and not on the client then yes .AddScript() will no longer work. The fact .AddScript() was working with .Invoke() at all was actually a problem that was corrected by the April update.
If script still needs to be run import the session instead of invoking the runspace and the scripts will run without issues.
Quelle https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/bc-p/2276499/highlight/true#M30268

Nach dem Patch ist vor dem Patch!

Freuen Sie sich aber noch nicht zu früh, wenn ein System ist nur so sicher, wie die Lücken noch niemandem bekannt sind. Leider scheinen die PWN2OWN-Lücken durch das April 2021 Update noch gar nicht berücksichtigt worden zu sein. Zumindest wenn man die Seite des ZDI liest:

Ob diese Aussagen so alle passen, kann ich nicht sagen aber wenn das passt, dann dürften wir vermutlich noch weitere Updates in naher Zukunft sehen. Die rot markierte Aussage bezieht sich vermutlich auf die fünf blau markierten Bugs, die bereits mit dem Updates korrigiert werden, die aber nicht im PWN2OWN-Wettbewerb genutzt wurden. Demnach sind diese Lücken noch nicht geschlossen. Hoffen wir mal, dass Sie noch niemand kennt, bis Microsoft die Updates veröffentlicht hat.

Das soll aber nicht als Ratschlag verstanden werden, sich die Installation der April-Updates zu sparen. Die fünf gefixten Probleme sind alle für sich schwerwiegend genug, und müssen schnellstens gefixt werden.

Historie

Wer nicht die ganze Seite lesen will, kann sich folgende Kurzfassung merken:

  • 6.-8.Apr: Auf dem HackerEvent Pwn2Own wurden drei Exchange Exploits vorgestellt
    Sie haben nach meiner Einschätzung ein ähnliches Potential wie der Hafnium: Exploit vom 3. März
  • Microsoft hat am 13. April 2021 die Lücken bestätigt.
    ZDI meldete diese Exploits an Microsoft und Microsoft ist auch Sponsor der Pwn2Own. Sie haben daher die Exploits-Samples und können sich diese anschauen, wie diese einzuschätzen ist
  • Betroffen: Exchange 2013-2019 aber nicht 2010
    Damit bestätigt sich meine Einschätzung vom 8. April, wenn der Exploit wieder die auth-Funktion aushebelt.
  • Security Update
    Im Video findet sich an https://youtu.be/6FYfUv1pwAg?t=6075 der Hinweis auf den "Patch Tuesday", bei dem Exchange Updates mit Credits zu Steven Seeley erscheinen sollten. Am 13.4 sind dann auch die Updates erschienen.
  • Update auf aktuelles CU erforderlich
    Bei Hafnium haben wir gesehen, dass viele Firmen teils sehr alte Patchstände betreiben. Da Microsoft die größeren "CUs" aber nur alle 3 Monate veröffentlicht, könnte es sich "nur" ein Security Update handeln, welches nicht für alle älteren Versionsstände bereitgestellt wird. Damit Sie im Falle des Falles aber Fixes sicher installieren können, müssen Sie ihre Server auf eine "supportete Version" anheben und den Prozess des Patch-Management definieren.

Es ist natürlich immer eine gute Vorgehensweise, alle Services "aktuell" zu halten, weil neben kritischen Lücken auch funktionale Fehler korrigiert werden. Die Zeit zum "Patchen" müssen Sie Wohl oder Übel dauerhaft einplanen, wenn Sie die Services selbst bereitstellen.

Exchange Exploits

Auf der Webseite der Zero Day Initiative wurden zwischen 6. bis 8. April 2021 die im Wettbewerb genutzten Exploits aufgeführt. Ich habe die drei für Exchange relevanten Lücken zusammengefasst.


Quelle: https://www.zerodayinitiative.com/blog/2021/4/2/pwn2own-2021-schedule-and-live-results (8.4.20219

Ich gehe davon aus, dass die Exploits gegen aktuellste Versionen von Exchange, d.h. inklusive Hafnium-Patch, gefahren wurde.

Ich habe keine öffentlichen Informationen, welche Exchange Versionen betroffen sind und ob die Lücken von extern wirklich anonym ausnutzbar sind.

Das Team "DEVCORE" ist ja schon als Entdecker der letzten Lücke bekannt und scheint einen weiteren ähnlichen Zugang gefunden zu haben. Zwei weitere Lücken waren nur teilweise erfolgreich und wer sich die Liste anschaut. Hier die direkten Links zu den drei Exchange Exploits:

Day1: 1130 The DEVCORE team combined an authentication bypass and a local privilege escalation to complete take over the Exchange server.
https://youtu.be/dA3aIMgRFY8?t=8614
Leider "sieht" und hört man die Akteure nur und am Ende wird eine Shell als "nt authority\ystem" gezeigt, die anscheinend auf einer "WinExternalMachine" gestartet wurde und vermutlich auf einer der Exchange-VMs läuft.

Day2: 1130 Team Viettel targeting Microsoft Exchange in the Server category
https://youtu.be/smav9ljrgSE?t=5583
Nach Installation einer Payload startet ExchangeUM anscheinend "cmd.exe" als SYSTEM und als Demo dann calc.

Day3: Steven Seeley of Source Incite targeting Microsoft Exchange in the Server category
https://youtu.be/6FYfUv1pwAg?t=5782 1. Versuch (Failed"
https://youtu.be/6FYfUv1pwAg?t=6353 2. Versuch

Ausschnitt: Youtube Video https://youtu.be/6FYfUv1pwAg?t=6396
https://youtu.be/6FYfUv1pwAg?t=6075
Auch hier hört und sieht man nur die Sprecher aber nicht die eigentliche Ausführung. In der Demo startet einer RemoteShell.

Im Video findet sich an https://youtu.be/6FYfUv1pwAg?t=6075 der Hinweis auf den "Patch Tuesday", bei dem Exchange Updates mit Credits zu Steven Seeley erscheinen sollten.

Ich kann nur jedem Exchange Administrator raten, die eigenen Exchange Server auf die aktuelles Servicepacks und CUs zu bringen, damit sie solche Security Updates auch einspielen können.

Teams Exploits

In der langen Liste gibt es genau einen Exploit, der Microsoft Teams betrifft.


Quelle: https://www.zerodayinitiative.com/blog/2021/4/2/pwn2own-2021-schedule-and-live-results

Die Demo zeigt nur sehr rudimentär, was genau passiert. Dennoch wäre das schon ein neuer Vektor, auf dem PC eines Anwenders mit dessen Berechtigungen einen beliebigen Code zu starten.

Pwn2Own 2021 - Day One Live Stream - Teams
https://youtu.be/dA3aIMgRFY8?t=14300

Ich vermute mal, dass der Angreifer dem Nutzer eine Instant Message o.ä. sendet und der Teams Client (Chromium) dann das hinterlegte Programm aufruft. Idealerweise ohne Mithilfe des Ziels. Ich bin auf Details gespannt. Da Microsoft Teams allerdings eine "komplett" von Microsoft verwaltete Software ist, sollte ein Fix relativ schnell auch verteilt werden können.

Weitere Produkte

Leider finden sich auch weitere Lücken zu Zoom, Safari, Windows, Ubuntu, Chrome + Edge, Parallels VM. Gerade die Virtualisierungsplattform ist immer wieder interessant, da Angreifer sich z.B. bei Hostern eine "VM" mieten und dann auf den Host ausbrechen können. Auf dem Level wird es dann interessant für den Angreifer, um Daten aus anderen Gästen zu erhalten oder sich beim Hoster umzuschauen.

Aber auch die Exploits in Browsers (Edge Chromium und Chrome) und dem Adobe PDF Reader sind sehr lohnend, auch wenn der ausgeführte Code dann "nur" als Benutzer läuft. Auch damit ist viel Schadpotential vorhanden.

Aktionsplan

ZDI hat sich selbst die Policy auferlegt, dass die Exploits an die Hersteller und nicht weiter verkauft werden. Der "Researcher" bekommt ein Angebot von ZDI, den Exploit "abzukaufen". ZDI übernimmt auch die Kommunikation mit den Herstellern der Software, was dem "Researcher" die ein oder andere Mühe ersparen kann. Das habe ich selbst schon erfahren dürfen. Siehe:

Wer eine Lücke gefunden hat, kann über ZDI diesen "prüfen" lassen und erhält sicher die entsprechende Würdigung beim Hersteller. Hinter ZDI steht die Firma TrendMicro, die ein Intrusion Protection System "Tipping Point IPS" vertreibt und die Exploits dort in die Erkennung einbaut. Die anderen IPS-Systeme bekommen vermutlich erst etwas mit, wenn der Hersteller einen Patch bereitstellt und die Lücke beschreibt. Für Sie als Admin bedeuten solche Exploits aber ganz klar:

  • Halten sie ihre Server aktuell (Version und Updates)
    Sie schützen ihre Umgebung damit nicht nur vor bekannten Exploits sondern können neue Updates sehr schnell installieren. Erwarten Sie nicht, dass z.B. Microsoft alle alten Servicepacks (SP), Cumulative Updates (CU) oder Rollup Fixes (RU) mit Security Updates versieht. Hafnium: Exploit würde ich als Ausnahme sehen.
  • Informieren Sie sich über Updates
    Microsoft, Adobe, Oracle u.a. veröffentlichen in der Regel am zweiten Dienstag des Monats ihre Updates (https://en.wikipedia.org/wiki/Patch_Tuesday). Zumindest zu dem Tag sollten Sie wachsam sein und neu veröffentlichte Updates bewerten.
  • Patch-Prozess
    Kleine Firmen können "mal eben schnell" abends einen Server patchen. Größere Firmen haben einen formalen Prozess, in dem die Updates bewertet, ein Wartungsfenster definiert und der eigentliche Updatevorgang eingehalten werden muss. Dazu gehört z.B. vorher ein Backup anzufertigen, das Monitoring zu pausieren u.a. Aufgaben. Das "Patchen" sollten so normal wie Zähneputzen werden.

Je weniger Erfahrung sie haben, desto eher könnte ein "Hosted Service" in Form von Office 365 für sie interessant sein.

Weitere Links