Der neue Registry-Wert HideOnlineAccountScreens blendet die entsprechenden Bildschirme im sogenannten OOBE (Out-of-Box-Experience) einfach aus – und erlaubt euch so die Einrichtung eines lokalen Benutzerkontos, ohne Umwege.

Was macht HideOnlineAccountScreens?

Mit diesem Registry-Wert wird die Anzeige der Microsoft-Konto-Seite beim Einrichtungsprozess (OOBE) unterdrückt. Das bedeutet konkret: Ihr werdet direkt zur Auswahl eines lokalen Kontos geführt – auch unter Windows 11 Home und Pro. Kein Internet-Zwang, kein Online-Login, keine Haken.

Methode 1: Manuelle Aktivierung per Registry
Wenn ihr euch im Setup von Windows 11 befindet und die Aufforderung zur Internetverbindung seht, drückt Shift + F10, um die Eingabeaufforderung zu öffnen. Gebt dort regedit ein und bestätigt.

1. Wechselt zu folgendem Pfad:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\OOBE
2. Falls der Schlüssel OOBE nicht existiert, erstellt ihn mit Rechtsklick auf CurrentVersion > Neu > Schlüssel.
3. Im rechten Bereich: Rechtsklick > Neu > DWORD-Wert (32-Bit)
   • Name: HideOnlineAccountScreens
   • Wert: 1
4. Schließt den Registry-Editor und das CMD-Fenster, kehrt zum Setup zurück und klickt zurück bis zum Start. Der Setup-Ablauf sollte nun die Konto-Zwangsseite überspringen.

Methode 2: Direkt per CMD-Befehl

Auch dieser Trick lässt sich mit einem einzigen Befehl erledigen. Einfach während des Setups Shift + F10 drücken und folgenden Befehl eingeben:

reg add HKLM\Software\Microsoft\Windows\CurrentVersion\OOBE /v HideOnlineAccountScreens /t REG_DWORD /d 1 /f

Bestätigt mit Enter – und schon wird der Zwang zur Online-Kontoerstellung deaktiviert.

Wie unterscheidet sich das von bypassNRO?

Während bypassNRO die Anforderung einer Internetverbindung während des Setups deaktiviert, sorgt HideOnlineAccountScreens gezielt dafür, dass die Seiten zur Online-Kontoanmeldung nicht erscheinen. Beide Methoden führen zum gleichen Ziel: Einem Setup ohne Microsoft-Konto. Dabei funktioniert die HideOnlineAccountScreens allerdings auch dann, wenn eine Internetverbindung während des Setups besteht.

Aktuell funktionieren beide Tricks. Und wer weiß: Vielleicht kommt in Zukunft noch eine weitere Methode dazu.

Der Beitrag Windows 11 ohne Microsoft-Konto: So funktioniert der neue Trick mit HideOnlineAccountScreens erschien zuerst auf Intellivision1.

Die folgenden Schwachstellen werden behoben:

• CVE-2021-31209
• CVE-2021-31207
• CVE-2021-31198
• CVE-2021-31195

Hier mal eine Beschreibung von der Pwn2Own Webseite, vermutlich wird genau diese Schwachstelle nun behoben:

The DEVCORE team combined an authentication bypass and a local privilege escalation to complete take over the Exchange server.

Team Viettel successfully demonstrated their code execution on the Exchange server, but some of the bugs they used in their exploit chain had been previously reported in the contest. This counts as a partial win but does get them 7.5 Master of Pwn points.

Quelle: https://www.zerodayinitiative.com/blog/2021/4/2/pwn2own-2021-schedule-and-live-results

Die Updates finden sich hier:

• Exchange Server 2013 CU23
• Exchange Server 2016 CU19 und CU20
• Exchange Server 2019 CU8 und CU9

Hier wird einmal der Update Pfad für die Installation der Mai Updates deutlich:

Außerdem weißt Microsoft explizit darauf hin, dass die manuelle Installation des Updates eine Shell im „Elevated“-Modus („Als Administrator ausführen“) ausgeführt werden muss. Hier einmal ein Beispiel der „Elevated Shell“:

Alternativ kann das Update natürlich auch via WSUS, Windows Update oder anderen Tools installiert werden. Falls das Update der Exchange Server schief geht, finden sich hier übrigens einige mögliche Lösungen für die Probleme:

• Repair failed installations of Exchange Cumulative and Security updates

Auch enthalten die Sicherheitsupdates drei bekannte Probleme, welche in dem Artikel auf dem Exchange Team Blog beschrieben sind:

• Released: May 2021 Exchange Server Security Updates

Das nächste CU, welches diese Updates enthalten wird, wird im Juni 2021 erwartet.

Der Beitrag Neue Sicherheitsupdates für Exchange Server (Mai 2021) erschien zuerst auf Intellivision1.

• https://github.com/microsoft/CSS-Exchange/tree/main/Security

EOMT sichert zunächst mittels URL-Rewrite den Exchange Server gegen die Schwachstelle CVE-2021-26855 ab und lädt dann den Microsoft Safty Scanner runter um den Server auf einen erfolgreichen Angriff zu untersuchen. EOMT installiert allerdings nicht die verfügbaren Updates sondern implementiert nur einen Workaround, die Updates müssen also separat installiert werden.

EOMT soll also Admins helfen, die nicht so schnell die Server patchen können, beispielsweise weil die Systeme bei vielen Kunden verteilt stehen. Bei EOMT handelt es sich wie auch schon bei „ExchangeMitigations.ps1“ um ein PowerShell Script, welches zusätzlich versucht, Auswirkungen eines erfolgreichen Angriffs zu beheben. Ob das wirklich so funktioniert, müsste mal jemand Betroffenes ausprobieren. Vielleicht lässt sich ja so eine Neuinstallation des Servers vermeiden. Inwieweit man dem Tool allerdings vertrauen will, bleibt jedem selbst überlassen. EMOT scannt auch nur den Exchange Server, es kann nicht feststellen, ob ein Angreifer bereits tiefer ins Netzwerk vorgedrungen ist.

Wichtig: Verwundbare Exchange Server müssen mit den Updates versorgt werden, EOMT soll hier nur für etwas mehr Zeit sorgen. Auch wer bereits die Updates installiert hat, kann mit EOMT überprüfen, ob es Hinweise auf einen erfolgreichen Angriff gibt:

Who should run the Exchange On-premises Mitigation Tool

EOMT kann einfach via PowerShell ausgeführt werden und läuft dann automatisch durch. Der Server muss Zugriff auf das Internet haben, damit der Safty Scanner und das IIS-Rewrite Module runtergeladen werden kann. Das Script läuft dann selbstständig durch:

Nachdem Das Script durchgelaufen ist, findet sich das Logfile unter C:\

In der Datei EOMTSummary.txt findet sich auch das Verzeichnis, wo weitere Logs aufgezeichnet wurden.

Der Beitrag HAFNIUM: EOMT von Microsoft sichert ungepatchte Exchange Server ab erschien zuerst auf Intellivision1.

• Exchange Server 2019 Cumulative Update 9
• Exchange Server 2016 Cumulative Update 20

Das CU 9 kann via VLSC, Visual Studio Portal oder im Action Pack runtergeladen werden. Das CU 9 für Exchange 2019 ist im Visual Studio Portal ist es bereits verfügbar.

Details zu den behobenen Problemen gibt es unter den folgenden Links:

• Exchange Server 2019 Cumulative Update 9 (KB4602570)
• Exchange Server 2016 Cumulative Update 20 (KB4602569)

Da die beiden CUs die Sicherheitsupdates für den HAFNIUM Exploit enthalten, könnte man darüber nachdenken, direkt das CU auf bisher nicht aktualisierten Servern zu installieren. Es ist also nicht nötig die Sicherheitsupdates vor den CUs zu installieren.

Wichtig: Exchange Server welche bisher nicht mit den Sicherheitsupdates vom 02.03 aktualisiert wurden, müssen möglichst zeitnah aktualisiert werden. Außerdem sollte noch das Script EOMT ausgeführt werden, damit festgestellt werden kann, ob der Server bereits erfolgreich angegriffen wurde.

Hier findet sich noch der Artikel aus dem Microsoft Exchange Team Blog:

• Released: March 2021 Quarterly Exchange Updates

Der Beitrag Neue Updates für Exchange 2016/2019 (März 2021) erschien zuerst auf Intellivision1.