Jump to content

Email-Fraud Nachlese und Vorsorge, Exchange absichern

Dirk-HH-83

Von Dirk-HH-83
in MS Exchange Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Dirk-HH-83 Mentor

Dirk-HH-83   14

Geschrieben
Geschrieben (bearbeitet)

Hallo, 

 

verstehe ich die Sachlage bei diesem Email Fraud (Aussenhandel/Übersee involviert)   richtig  oder gibt es noch ganz andere Maßnahmen um Ursache zu finden oder zukünftige Vorfälle zu vermeiden?

(es ist exchange 2013 Cu23 on premise ohne POP3 Provider-Abholung vorhanden)

 

Es gibt eigentlich kein Hinweis, das der Exchangeserver kompromittiert wurde

 

Details:
Der Mitleser hat zum richtigen Zeitpunkt eine gefälschte PDF Rechnung an den Exchange-Eigentümer übermittelt hat)

Es soll die Sicherheit verbessert werden bzw. ist die Sicherheitslücke derzeit unklar.

Ich bin die Exchange-Postfächer im ECP durchgegangen und habe rechts unter "Active Sync Details" keine fremden EAS-Geräten gefunden.

OWA war für die betroffenen Postfächer bereits deaktiviert, beim ganzen Exchange sind nur ca. 2-3 OWAs freigeschaltet, jedoch mit einigen Postfacherechtigungen.

Im IIS OWA Log (siehe unten) sind "BOTs, Loginversuche und echte Logins" nicht so leicht zu unterscheiden. 

 

Optimierungsideen: 

a) Port 443 (mittels Firewall Geolocation nur für bestimmte Länder eingehend erlauben)

b) 3rd Party MDM/MFA/VPN  für mobile Geräte "ausrollen"

c) Spamfilter optimieren, so dass z.B. SPF/rDNS  geprüft wird und Warnungen im Betreff/Mailbody stehen...

d) verhindern, das Outlook Anywhere "von jedem externen Gerät so einfach möglich ist"

e) Firewall-Traffic Log Speicherung erweitern

 

+++++++++

Weitere Infos:

Die Smartphones verwenden kein VPN. Es ist keine 3rd Party MDM Lösung vorhanden, es sind ca. 15 iPhones.

Die Exchange 2013 Activesync Geräte-Quarantäne Funktion ist nicht aktiviert.

Der Fraud wurde mittels unterschiedlichem  FROM: und Reply-to Headerfeld  "fingiert"

Die "Clean-Check-Einträge" im Emailheader  von "ESET Exchange Spamfilter und vom SMTP-Proxy" sind im Fraud-Mail-Header sichtbar (in dem u.g. Auszug jedoch nicht)

Es ist kein POP3/IMAP im Einsatz.

 

Fazit: 

- Wenn "Reply-to" abweichend von "FROM" ist: kann man das nicht so einfach mittels Spamfilter oder Outlook sichtbar machen

- ein offener Port 443 ist immer eine Gefahr, bzw. den Exchange 2013 CU23 direkt im Internet stehen zu haben ist zu gefährlich, wenn kein MFA/VPN/DMZ/Proxy verwendet wird

...

 

+++++++

 

Received: from xxxxx.xxxxxx.net (209.191.xxx.xxx) by

Exchange.domäne.local (192.168.xxx.xxx) with Microsoft SMTP Server id 15.0.1497.2

via Frontend Transport; Tue, 27 Oct 2020 11:43:08 +0100

Received: from [::1] (port=48772 helo=xxxxx)

            by xxxxx.xxxxxx.net with esmtpa (Exim 4.93)

            (envelope-from <ansprechpartner1@firma2.com>)

            id xxxxxxx-Qm; Tue, 27 Oct 2020 10:43:07 +0000

From: Vorname <ansprechpartner2@firma2.com>

To: empfänger1 <empfänger1@empfänger1.de>, empfänger2

            <empfänger2@empfänger1.de>

CC: ansprechpartner2 <ansprechpartner2.firma2@mail.com>, finance

            <finance.firma2@mail.com>, ansprechpartner3

            <finance.firma2@mail.com>, "empfänger1@empfänger1.de" <empfänger1@empfänger1.de>

Subject: RE: Invoice

Thread-Topic: Invoice

Thread-Index: xxxxxxxxxx==

Date: Tue, 27 Oct 2020 10:43:07 +0000

Message-ID: <xxxxxxxxx@firma2.com>

References: <xxxxxx.xxxxxx.i.mail.ru>

In-Reply-To: <xxxx.xxxxxxxx.i.mail.ru>

Reply-To: "ansprechpartner2.firma2@mail.com" <ansprechpartner2.firma2@mail.com>

Content-Language: de-DE

X-MS-Has-Attach: yes

X-MS-TNEF-Correlator:

Content-Type: multipart/mixed;

            boundary="_xxxxxxxxxxpk_"

MIME-Version: 1.0

 

+++++++++++++++

http://it-blog.bru.ch/2016/06/owa-und-eas-log-analyse.html

OWA und EAS Log Analyse

 

cs-uri-stemcs(User-Agent)     

/owa/Mozilla/5.0+(compatible+YandexBot/3.0++http://yandex.com/bots)   

/owa/auth/logon.aspxMozilla/5.0+(compatible+YandexBot/3.0++http://yandex.com/bots)   

/owa/libwww-perl/6.45     

/owa/auth/logon.aspxlibwww-perl/6.45     

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+6.00+rv:24.0)+Gecko/20100101+Firefox/24.0   

/owa/Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/60.0.3112.113+Safari/537.36     

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/60.0.3112.113+Safari/537.36     

/owa/Mozilla/5.0+(compatible+CensysInspect/1.1++https://about.censys.io/)   

/owa/auth/logon.aspxMozilla/5.0+(compatible+CensysInspect/1.1++https://about.censys.io/)   

/owa/auth/logon.aspxMozilla/5.0,,,,,,,,,,     

/owa/auth/logon.aspx"Mozilla/5.0,,,,,,,,,,     

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+10.00+rv:47.0)+Gecko/20100101+Firefox/47.0   

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+10.00+rv:47.0)+Gecko/20100101+Firefox/47.0   

/owa/Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/60.0.3112.113+Safari/537.36     

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/60.0.3112.113+Safari/537.36     

/owa/auth/error_ui.aspxMozilla/5.0     

/owa/auth/current/scripts/premium/error_ui.aspxMozilla/5.0     

/owa/auth/current/scripts/error_ui.aspxMozilla/5.0     

/owa/auth/current/themes/resources/error_ui.aspxMozilla/5.0     

/owa/auth/current/themes/error_ui.aspxMozilla/5.0     

/owa/auth/current/error_ui.aspxMozilla/5.0     

/owa/libwww-perl/6.49     

/owa/auth/logon.aspxlibwww-perl/6.49     

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+6.00+rv:24.0)+Gecko/20100101+Firefox/24.0   

/owa/Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/46.0.2486.0+Safari/537.36+Edge/13.10586     

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/46.0.2486.0+Safari/537.36+Edge/13.10586     

/owa/Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/46.0.2486.0+Safari/537.36+Edge/13.10586     

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/46.0.2486.0+Safari/537.36+Edge/13.10586     

/owa/Mozilla/5.0+(Windows+NT+6.20+Trident/7.0+rv:11.0)+like+Gecko  

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+6.20+Trident/7.0+rv:11.0)+like+Gecko  

/owa/Mozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/55.0.2883.87+Safari/537.36     

/owa/auth/logon.aspxMozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/55.0.2883.87+Safari/537.36     

/owa/auth/logon.aspxMozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/auth/15.0.1497/themes/resources/favicon.icoMozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/auth/15.0.1497/themes/resources/segoeui-semilight.ttfMozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/auth/15.0.1497/themes/resources/segoeui-regular.ttfMozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/Mozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/auth/logon.aspxMozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/auth/logon.aspxMozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/auth/15.0.1497/themes/resources/favicon.icoMozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/auth/15.0.1497/themes/resources/segoeui-regular.ttfMozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/auth/15.0.1497/themes/resources/segoeui-semilight.ttfMozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/Mozilla/5.0+(Windows+NT+10.000+rv:82.0)+Gecko/20100101+Firefox/82.0  

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+10.000+rv:82.0)+Gecko/20100101+Firefox/82.0  

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+10.000+rv:82.0)+Gecko/20100101+Firefox/82.0  

/owa/auth/15.0.1497/themes/resources/favicon.icoMozilla/5.0+(Windows+NT+10.000+rv:82.0)+Gecko/20100101+Firefox/82.0  

/owa/Mozilla/5.0+(Windows+NT+10.000+rv:82.0)+Gecko/20100101+Firefox/82.0  

/owa/auth/errorfe.aspxMozilla/5.0+(Windows+NT+10.000+rv:82.0)+Gecko/20100101+Firefox/82.0  

/owa/favicon.icoMozilla/5.0+(Windows+NT+10.000+rv:82.0)+Gecko/20100101+Firefox/82.0  

/owa/auth/errorFE.aspxMozilla/5.0+(Windows+NT+10.000+rv:82.0)+Gecko/20100101+Firefox/82.0  

/owa/Go+http+package     

/owa/auth/logon.aspxGo+http+package     

/owa/Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/60.0.3112.113+Safari/537.36     

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/60.0.3112.113+Safari/537.36     

/owa/login_sid.luapython-requests/2.6.0+CPython/2.6.6+Linux/2.6.32-754.31.1.el6.x86_64     

/owa/auth/logon.aspxpython-requests/2.6.0+CPython/2.6.6+Linux/2.6.32-754.31.1.el6.x86_64     

/owa/Go-http-client/1.1     

/owa/auth/logon.aspxGo-http-client/1.1     

/owa/Mozilla/5.0+(compatible+CensysInspect/1.1++https://about.censys.io/)   

/owa/auth/logon.aspxMozilla/5.0+(compatible+CensysInspect/1.1++https://about.censys.io/)   

/owa/Go-http-client/1.1     

       

 

 

bearbeitet von Dirk-HH-83
Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.035

Geschrieben
Geschrieben
vor einer Stunde schrieb Dirk-HH-83:

verstehe ich die Sachlage bei diesem Email Fraud (Aussenhandel/Übersee involviert)   richtig

Du erwartest jetzt nicht, dass wir dir deine Konfig analysieren, oder? :) Was man anhand der Mailheader sieht, würde ich auf klassisches Spearphishing oder dumpf Spam/Phishing tippen. Mit den ganzen "Anonymisierungen" kann man das zwar grundsätzlich verstehen, aber es macht das ganze sehr unübersichtlich in meinen Augen.

vor einer Stunde schrieb Dirk-HH-83:

a) Port 443 (mittels Firewall Geolocation nur für bestimmte Länder eingehend erlauben)

Ja, und wenn der erste GF kommt aus einem nicht erlaubten Urlaubsland oder einen Cloudservice dort verwendet, stehste wieder am Anfang.

 

vor einer Stunde schrieb Dirk-HH-83:

b) 3rd Party MDM/MFA/VPN  für mobile Geräte "ausrollen"

 

Wenn die Umgebung das hergibt, dann evtl. ne gute Idee.

 

vor einer Stunde schrieb Dirk-HH-83:

c) Spamfilter optimieren, so dass z.B. SPF/rDNS  geprüft wird und Warnungen im Betreff/Mailbody stehen...

 

Gibts Leute die sowas noch deaktiviert haben? Warnungen usw. sind auch eine Gewohnheit, die dann irgendwann nachläßt, würde ich also mit Vorsicht einsetzen

 

vor einer Stunde schrieb Dirk-HH-83:

d) verhindern, das Outlook Anywhere "von jedem externen Gerät so einfach möglich ist"

 

Wie denn? :)

vor einer Stunde schrieb Dirk-HH-83:

e) Firewall-Traffic Log Speicherung erweitern

 

Und dann? Hast jetzt kein Logging oder wie? Kannst natürlich für alle Ewigkeit speichern und SIEM einführen. Obs hilft, wirst du erst hinterher feststellen.

 

vor einer Stunde schrieb Dirk-HH-83:

- ein offener Port 443 ist immer eine Gefahr, bzw. den Exchange 2013 CU23 direkt im Internet stehen zu haben ist zu gefährlich, wenn kein MFA/VPN/DMZ/Proxy verwendet wird

 

Die Erkenntnis ist jetzt aber 1. nicht neu und 2. erschließt sich mir nicht, was das mit dem Ausgangsproblem "Der Mitleser hat zum richtigen Zeitpunkt eine gefälschte PDF Rechnung an den Exchange-Eigentümer übermittelt hat" zu tun hat.

 

bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...