уязвимость в Exchange

  • Автор темы Автор темы Javac
  • Дата начала Дата начала
  • Теги Теги
    hafnium
Javac

Javac

Участник
Всем привет! Подскажите где скачать заплатку по уязвимости Exchange ?

Microsoft выпустила исправления для нескольких уязвимостей нулевого дня Microsoft Exchange Server. Уязвимости существуют в локальных серверах Exchange Server версии 2010, 2013, 2016 и 2019. Ниже текст официального письма:

«Мы хотели убедиться, что вы осведомлены о ситуации, и просим вас принять немедленные меры в соответствии с вашими политиками и процедурами информационной безопасности.

Просим вас дать указание вашим командам приступить к немедленным действиям по оценке инфраструктуры Exchange Server и установке исправлений на затронутые системы, при этом в первую очередь обновления должны быть установлены для серверов, доступных из сети Интернет (например, серверы, публикующие Outlook Web App (OWA) и Exchange Control Panel (ECP) для удаленного доступа). Чтобы закрыть данные уязвимости, вам следует предварительно установить последнее кумулятивное обновление, доступное для Exchange Server, а затем установить соответствующие обновления безопасности на каждом сервере Exchange. Вы можете использовать скрипт проверки работоспособности Exchange Server, который можно загрузить с GitHub (используйте последнюю версию). Запуск этого скрипта поможет определить актуальность обновлений локального сервера Exchange Server (обратите внимание, что сценарий не поддерживает Exchange Server 2010).
 
Последнее редактирование модератором:
У меня вопрос - есть ли заплатки по этим уязвимостям ?:cautious:

Microsoft Exchange Server 2016 Cumulative Update 19 - поможет ли установка этого обновления ?
 
Последнее редактирование модератором:
Javac сказал(а):
У меня вопрос - есть ли заплатки по этим уязвимостям ?:cautious:
Нажмите, чтобы раскрыть...
Мы также рекомендуем вашей команде по безопасности оценить, использовались ли уязвимости или нет, с помощью индикаторов взлома, которые мы опубликовали здесь -

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

Мы также рекомендуем использовать Azure Sentinel для создания запросов с целью расширенного поиска индикаторов компрометации и сигналов о потенциальной атаке, а также шаблоны запросов для анализа угроз и создания оповещений для последующей реакции и восстановления из Microsoft Defender for Endpoint.

Информация, которая поможет вам и вашим командам:
Security Update Release Notes – Microsoft Security Update Guide

CVE-2021-26412
CVE-2021-26854
CVE-2021-26855
CVE-2021-26857
CVE-2021-26858
CVE-2021-27065
CVE-2021-27078
 
  • Like
Реакции: Fox
Тестирование скриптом не имеет смысла если у вас не установлен последний CU для Exchange. Нужно сначала обновиться потом проверять. Так в общем в руководстве написано к этому скрипту

Exchange Health Checker

Проверяет Exchange сервер на предмет уязвимостей. CVE-2021-26412 CVE-2021-26854 CVE-2021-26855 CVE-2021-26857 CVE-2021-26858 CVE-2021-27065 CVE-2021-27078 Чтобы закрыть данные уязвимости, вам следует предварительно установить последнее...
sysadmins.online
 
У меня установлен CU 15 на Exchange 2016. Подскажите как правильно поставить CU в Exchange Server 2016? Он еще и в группу высокой доступности входит.
 
Мы рассмотрим установку обновлений на сервере почтовых ящиков, входящим в DAG. Открываем любимый инструмент администратора Exchange PowerShell (с повышенными привилегиями) и приступаем к работе.

Переводим компонент сервера Hub Transport в режим обслуживания:​

Set-ServerComponentState EX-SRV –Component HubTransport –State Draining –Requester Maintenance
Переводим все активные сообщения из очередей почтового сервера на другой сервер (нужно указать FQDN севера):​

Redirect-Message -Server EX-SRV -Target EX2-SRV.contoso.com
(подтверждаем действие нажав “y”)​

Приостанавливаем членство в кластере:
Suspend-ClusterNode –Name EX-SRV
Следующая команда перемещает все активные копии баз данных с сервера EX-SRV и блокирует политику активацию новых копий:
Set-MailboxServer EX-SRV –DatabaseCopyActivationDisabledAndMoveNow $true
Переводим сервер в режим обслуживания:​

Set-ServerComponentState EX-SRV -Component ServerWideOffline –State InActive –Requester Maintenance
Теперь перейдем в директорию с распакованным обновлением (CU) и расширим схему AD (нужен компонент Windows Server "RSAT-ADDS" и обновления безопасности) будем использовать для этого cdm.exeзапущенную от Администратора:​

setup.exe/prepareschema /IAcceptExchangeServerLicenseTerms
Подготовим Active Directory:​

setup.exe /preparead /IAcceptExchangeServerLicenseTerms
Подготовим домен (запускается для каждого домена, содержащего почтовый сервер Exchange):​

setup.exe[/B] /PrepareDomain /IAcceptExchangeServerLicenseTerms
Начнем установку обновления:​

setup.exe[/B] /m:upgrade /IAcceptExchangeServerLicenseTerms
После установки возвращаем все в рабочее состояние:​

Код: 
Resume-ClusterNode –Name EX-SRV
Set-MailboxServer EX-SRV –DatabaseCopyAutoActivationPolicy Unrestricted
Set-MailboxServer EX-SRV –DatabaseCopyActivationDisabledAndMoveNow $false
Set-ServerComponentState EX-SRV –Component HubTransport –State Active –Requester Maintenance
Возвращаем персональные настройки виртуальных каталогов (если они были сделаны).

Раскидываем базы данных, согласно приоритету активации, для этого переходим в папку C:\Program Files\Microsoft\Exchange Server\V15\scripts и выполняем команду:

.\RedistributeActiveDatabases.ps1 –DagName DAGNAME –BalanceDbsByActivationPreference –confirm: $false
Готово. Проверяем репликацию:

Test-ReplicationHealth -Identity EX-SRV
Осталось убедиться в отсутствии проблем у пользователей и сторонних сервисов и можно приступать к обновлению следующего сервера.
отсюда
 
Последнее редактирование модератором:
Petya сказал(а):
Мы рассмотрим установку обновлений на сервере почтовых ящиков, входящим в DAG. Открываем любимый инструмент администратора Exchange PowerShell (с повышенными привилегиями) и приступаем к работе.

Переводим компонент сервера Hub Transport в режим обслуживания:​

Set-ServerComponentState EX-SRV –Component HubTransport –State Draining –Requester Maintenance
Переводим все активные сообщения из очередей почтового сервера на другой сервер (нужно указать FQDN севера):​

Redirect-Message -Server EX-SRV -Target EX2-SRV.contoso.com
(подтверждаем действие нажав “y”)​

Приостанавливаем членство в кластере:
Suspend-ClusterNode –Name EX-SRV
Следующая команда перемещает все активные копии баз данных с сервера EX-SRV и блокирует политику активацию новых копий:
Set-MailboxServer EX-SRV –DatabaseCopyActivationDisabledAndMoveNow $true
Переводим сервер в режим обслуживания:​

Set-ServerComponentState EX-SRV -Component ServerWideOffline –State InActive –Requester Maintenance
Теперь перейдем в директорию с распакованным обновлением (CU) и расширим схему AD (нужен компонент Windows Server "RSAT-ADDS" и обновление безопасности) будем использовать для этого cdm.exeзапущенную от Администратора:​

setup.exe/prepareschema /IAcceptExchangeServerLicenseTerms
Подготовим Active Directory:​

setup.exe /preparead /IAcceptExchangeServerLicenseTerms
Подготовим домен (запускается для каждого домена, содержащего почтовый сервер Exchange):​

setup.exe[/B] /PrepareDomain /IAcceptExchangeServerLicenseTerms
Начнем установку обновления:​

setup.exe[/B] /m:upgrade /IAcceptExchangeServerLicenseTerms
После установки возвращаем все в рабочее состояние:​

Код: 
Resume-ClusterNode –Name EX-SRV
Set-MailboxServer EX-SRV –DatabaseCopyAutoActivationPolicy Unrestricted
Set-MailboxServer EX-SRV –DatabaseCopyActivationDisabledAndMoveNow $false
Set-ServerComponentState EX-SRV –Component HubTransport –State Active –Requester Maintenance
Возвращаем персональные настройки виртуальных каталогов (если они были сделаны).

Раскидываем базы данных, согласно приоритету активации, для этого переходим в папку C:\Program Files\Microsoft\Exchange Server\V15\scripts и выполняем команду:

.\RedistributeActiveDatabases.ps1 –DagName DAGNAME –BalanceDbsByActivationPreference –confirm: $false
Готово. Проверяем репликацию:

Test-ReplicationHealth -Identity EX-SRV
Осталось убедиться в отсутствии проблем у пользователей и сторонних сервисов и можно приступать к обновлению следующего сервера.
отсюда
Нажмите, чтобы раскрыть...
Блин многовато всего делать. Подскажите есть ли способ закрыть уязвимости не устанавливая последние cumulative update ?
Так же интересно будет ли Windows Defender отлавливать эти сигнатуры

Microsoft Defender Antivirus detections
Please note that some of these detections are generic detections and not unique to this campaign or these exploits.
  • Exploit:Script/Exmann.A!dha
  • Behavior:Win32/Exmann.A
  • Backdoor:ASP/SecChecker.A
  • Backdoor:JS/Webshell (not unique)
  • Trojan:JS/Chopper!dha (not unique)
  • Behavior:Win32/DumpLsass.A!attk (not unique)
  • Backdoor:HTML/TwoFaceVar.B (not unique)
 
Javac сказал(а):
Блин многовато всего делать. Подскажите есть ли способ закрыть уязвимости не устанавливая последние cumulative update ?
Так же интересно будет ли Windows Defender отлавливать эти сигнатуры

Microsoft Defender Antivirus detections
Please note that some of these detections are generic detections and not unique to this campaign or these exploits.
  • Exploit:Script/Exmann.A!dha
  • Behavior:Win32/Exmann.A
  • Backdoor:ASP/SecChecker.A
  • Backdoor:JS/Webshell (not unique)
  • Trojan:JS/Chopper!dha (not unique)
  • Behavior:Win32/DumpLsass.A!attk (not unique)
  • Backdoor:HTML/TwoFaceVar.B (not unique)
Нажмите, чтобы раскрыть...
Думаю нет, возможно Microsoft выпустит новый CU для Exchange, куда включит заплатки от этих дыр. Но это время...
 
13774987223859.gif


Если для кого еще актуально то патчи для exchange ЗДЕСЬ
 
Последнее редактирование:
Для ответа нужно войти/зарегистрироваться
Назад
Верх