Exchange Security Fixes - 03/2021

[NorbertFe 2.013]

vor 13 Minuten schrieb siberia21:

war mir dann aber ehrlich gesagt auch egal.

Es ist NICHT deine Umgebung und deine Daten und die Verantwortung kann der Kunde auch nicht in dem Maße wegdelegieren. auch wenn viele das glauben (auf beiden Seiten). Und glaub mir, ich kenne sowohl solche Kunden und auch bei größeren Kunden gibts solche Kandidaten, bei denen man sich nur noch an den Kopf fassen will (sollte man nur nicht im Kundengespräch tun) :)

[siberia21 13]

Ja aber es ist wie eine wärmende Decke, wenn man weis man hat alles gemacht was nötig ist! Nur dafür muss man mich auch machen lassen.

 

Hier musste ich beim Kunden ordentlich Druck machen, überleg mal Exchange im RTM Zustand, gehts noch... da viel mir auch nichts mehr zu ein.

 

Aber es läuft doch... ja klar mein Auto läuft auch bis irgendwas abfällt... aber ich war vorher bei der Inspektion alle 15.000 Kilometer.

 

Das sollte beim Computern selbstverständlich sein. Ist es aber nicht... Was für ein Tara man hat wenn es um 20H z.b. geht. Der Kunde übrigens genau der Kunde hat auch 6 Monate gewartet bis ich endlich die Firma durch Patchen konnte. Ach ja und Windows 10 wurde 1 Tag nach Ablauf von Windows 7 überall aufgespielt und jetzt finde ich ein Notebook mit Windows 7... ich dachte ich spinne... 

bearbeitet 10. März 2021 von siberia21

[tesso 373]

Wir machen das alles schriftlich und lassen und auch Dinge abzeichnen. Mehr als auf Dringlichkeit hinweisen können wir nicht. 

vor 39 Minuten schrieb siberia21:

und jetzt finde ich ein Notebook mit Windows 7... ich dachte ich spinne... 

Das ist doch brandneu. Da kenne ich Kunden mit viel älteren Maschinen. 

[Dutch_OnE 39]

Moin, das Test-Proxy Powershell Script hat am 5.3 und 6.3 Aktivitäten gefunden. Am 7.3 habe ich den Patch installiert. Nun scheint Ruhe zu sein. Reicht es alle Updates zu machen, oder sollte man hier noch andere Schritte ausführen?

[testperson 1.660]

Ich würde definitiv mindestens mal noc das MSERT Tool drüber jagen und an den diversen Stellen nach Webshells suchen.

 

 

P.S.: Wäre evtl. nicht nur in Bayern hilfreich (Exchange Sicherheitslücken (bayern.de)):

Zitat

Was prüft nun das Bayerische Landesamt für Datenschutzaufsicht (BayLDA)?

Im Rahmen seiner Ad-hoc-Cybersicherheitsprüfung identifiziert das BayLDA anfällige Exchange Server in Bayern und kontaktiert anschließend deren Betreiber. Dabei werden stichprobenartig tausende Systeme hinsichtlich der beschriebenen Schwachstellen mittels eines Prüfskripts kontrolliert.

Hier noch die Pressemitteilung "dazu": BayLDA Pressemitteilung zu Microsoft Exchange Sicherheitslücken (bayern.de)

 

Gleich gibt es noch einen Livestream mit dem BSI zum "Exchange Hack": Livestream zum Exchange-Hack: BSI beantwortet Fragen ab 15:30 Uhr | heise online

bearbeitet 11. März 2021 von testperson

[MrCocktail 192]

vor 18 Stunden schrieb Dutch_OnE:

Moin, das Test-Proxy Powershell Script hat am 5.3 und 6.3 Aktivitäten gefunden. Am 7.3 habe ich den Patch installiert. Nun scheint Ruhe zu sein. Reicht es alle Updates zu machen, oder sollte man hier noch andere Schritte ausführen?

Hi,

 

hast du denn nur "Versuche" gefunden, oder danach wirklich dann gesucht, ob etwas ungewöhnliches los ist?

Wir haben alle Kunden direkt am Mittwoch gepatcht und sind seit dem jeden Tag dabei, zu schauen ob nicht doch irgendwo etwas ist, was wir im ersten Moment nicht gesehen haben....  Bisher scheint es so, dass wir schnell genug gewesen sind.

Ein Vorteil, alles Outsourcing, unsere Betriebsverantwortung und wir haben entschieden und nicht mehr groß gefragt.

 

Allerdings will ich mir gar nicht vorstellen, was wir tun würden, wenn wir wirklich annehmen müssten, der Exchange Server sei betroffen, ich glaube dann würde ich direkt den kompletten Neuaufbau empfehlen, denn sicher sein könnte man sich nicht mehr, dass nicht doch irgendwas / irgendwo schlummert.

 

Gruß

J

BSI Stream zu dem Thema

 

[siberia21 13]

Ich habe vorgestern alles dicht gemacht, soweit möglich durch den Patch!

 

Das einspielen von CU23 und dem Patch verlief unproblematisch, auch wenn ich die VM  mit ihren 360 GB immer vorher gesichert habe! Das ist zum Glück recht einfach und bei der Performance des Servers eine Sache von Minuten. 

 

Gestern ging ich dann mit dem TestScript durch: Das Ergebnis war zum Glück... : Null das einzige was in einem Exchange aktiv ist, ist Panda Adaptiv Defenz und das ist so gewollt. 

 

Ich überlege noch ob ich bei Panda die Thread Protection aktiviere was natürlich mit einem Performance Verlust einher geht, weil alle Prozesse auf ungewöhnliche Aktivitäten für sie überwacht werden. Auf meinen Terminal und FileServern als auch allen Arbeitsplätzen nutze ich das schon seit Jahren!

 

Hat schon das eine oder andere Sinnvoll verhindert - Allerdings ist man gegen dumheit nicht gewappnet:

 

Leider ist das hier wie man bei Heise gestern gut nachlesen konnte im Grunde eine Frechheit!

 

https://www.heise.de/news/Der-Hafnium-Exchange-Server-Hack-Anatomie-einer-Katastrophe-5077269.html

 

 

 

 

 

 

 

[wznutzer 35]

Guten Tag,

das Prüfskript scheint nicht alle regulär vorhandenen Verzeichnisse zu kennen. Wenn der Exchange schon etwas älter ist, sammeln sich ja da die verschiedenen Verzeichnisse mit den Versionsnummern. Ihr kennt das, es wird immer mal wieder diskutiert ob das gelöscht werden kann. Das Prüfskript scheint nur die CUs zu kennen. Aber kleinere Updates zwischendrin bringen da manchmal auch andere Versionen mit. Das wird dann als "One or more potentially malicious files found" gemeldet und kann bei MS hochgeladen werden. Das sind z. B. die Verzeichnisse 15.1.1261.36, 15.1.1261.39, 15.1.1713.1, 15.1.1713.6, 15.1.1713.7, 15.1.1713.8. Nur als Info. Falls jemand andere Informationen / andere Einschätzung hat, bitte hier notieren. Der Upload der Ergebnisdatei hat ebenfalls "no malware detected" angezeigt.

 

Grüße

 

 

[jimmyone 15]

Du sprichst vom Compare Hashes Powershell Script?

Das hat bei uns auch ein seltsames Verhalten gezeigt. Es hat die web.config aus dem wwwroot des iis als verdächtig markiert.

Wir haben das File geprüft, hatten das vorher auch schon geprüft und keine Veränderungen festgestellt.

 

[wznutzer 35]

Ja, zu Anfangs hat es gar nicht funktioniert. Es wurde aber fast im 2-Stunden Abstand aktualisiert. Jetzt läuft es ohne Fehler, findet aber jede Menge Dateien, von denen ich sicher weiß, dass diese schon seit Jahren da sind. Ich habe nämlich schon zig mal darüber nachgedacht diese zu löschen und dann doch nicht gelöscht.

Ich habe nun auch alle Dokumente von Microsoft mehrfach durchgesehen. ActiveSync ist nicht genannt. Das BSI nennt aber auch ActiveSync. Wenn ich die Lücken richtig verstanden habe, müsste mindestens CVE-2021-26855 auch bei ActiveSync möglich sein. Bei den anderen finde ich keine genaueren Informationen.

 

Derzeit sieht es für mich so aus, als ob das Anklopfen per Autodiscover stattgefunden hat. War das nicht veröffentlicht, ist der Angreifer wohl weitergezogen. Sicher ist das aber nicht. Weiß da jemand mehr?

[NorbertFe 2.013]

vor 8 Stunden schrieb siberia21:

Leider ist das hier wie man bei Heise gestern gut nachlesen konnte im Grunde eine Frechheit!

Gut, dann ist das ja auch mal gesagt. 🙃

[MrCocktail 192]

vor 4 Stunden schrieb wznutzer:

Guten Tag,

das Prüfskript scheint nicht alle regulär vorhandenen Verzeichnisse zu kennen. Wenn der Exchange schon etwas älter ist, sammeln sich ja da die verschiedenen Verzeichnisse mit den Versionsnummern. Ihr kennt das, es wird immer mal wieder diskutiert ob das gelöscht werden kann. Das Prüfskript scheint nur die CUs zu kennen. Aber kleinere Updates zwischendrin bringen da manchmal auch andere Versionen mit. Das wird dann als "One or more potentially malicious files found" gemeldet und kann bei MS hochgeladen werden. Das sind z. B. die Verzeichnisse 15.1.1261.36, 15.1.1261.39, 15.1.1713.1, 15.1.1713.6, 15.1.1713.7, 15.1.1713.8. Nur als Info. Falls jemand andere Informationen / andere Einschätzung hat, bitte hier notieren. Der Upload der Ergebnisdatei hat ebenfalls "no malware detected" angezeigt.

 

Grüße

 

 

Einfach noch einmal die neueste Version des Scriptes nutzen?

MS ist immer noch dabei und prüft alle Versionen.

 

Bei uns hat er auch die web.config angemeckert und wie sich herausstellt, zu recht Wir haben da Änderungen vorgenommen, wie in unserem Change Log nachzulesen ist, dieses muss man berücksichtigen. Microsoft kann nicht wissen, ob ihr darin Einstellungen verändert habt.

• 15.1.1211.39 ist jetzt da
• 15.1.1713.7 & 8 auch

Wenn ihr die Checkergebnisse also Microsoft zur Verfügung stellt, dann schauen Sie auch die Versionen an und bringen weitere Baselines, die letzten Updates sind vor 60min bereitgestellt worden.

[NorbertFe 2.013]

Das msret ist inzwischen auch hypersensibel und erkennt 2 Schädlinge auch auf einer Neuinstallation ohne jeglichen externen Zugang. Am Ende bekommt man dann trotzdem grünen Haken.

[Thomas Maggnussen 2]

Rüdiger Trost (F-Secure) warum Deutschland besonders betroffen ist:

"Deutsche Unternehmen fürchten die Cloud und betreiben Dienste wie Exchange daher häufig lokal."
Gute Werbund für Microsoft´s Cloud und wir sind selber Schuld dass wir nicht auch dort hosten.

 

Habt ihr eure Exchange schon wieder ins Internet gehängt? Streub mich ehrlich gesagt noch ein wenig, sie wieder erreichbar zu machen.

 

 

[MrCocktail 192]

Wir haben Sie nie vom Netz genommen, allerdings momentan unter permanenter Beobachtung.