testperson 1.675 Geschrieben 5. März 2021 Melden Teilen Geschrieben 5. März 2021 (bearbeitet) Der Inhalt (HAFNIUM targeting Exchange Servers with 0-day exploits - Microsoft Security) wurde ergänzt: Zitat Update [03/04/2020]: The Exchange Server team released a script for checking HAFNIUM indicators of compromise (IOCs). See Scan Exchange log files for indicators of compromise. Hier findet sich das PowerShell Script zum Testen: CSS-Exchange/Security at main · microsoft/CSS-Exchange · GitHub Habe es grade mal auf knapp zehn Systemen getestet und auf einem System gibt es den Ordner "%exchangeinstallpath%\OABGeneratorLog" nicht. Ist das jetzt verdächtig oder durchaus normal? bearbeitet 5. März 2021 von testperson 1 1 Zitieren Link zu diesem Kommentar
EDV11 12 Geschrieben 5. März 2021 Melden Teilen Geschrieben 5. März 2021 (bearbeitet) Hallo zusammen, habe das PowerShell Script auch auf einem Server laufen lassen. Beim Punkt: CVE-2021-26855 findet er einen Eintrag. Im abgelegten Log File findet sich folgender Eintrag: "2021-03-03T07:39:36.752Z","ServerInfo~a]@exchange.contoso.intern:444/autodiscover/autodiscover.xml?#" Haben dann im Ordner: C:\Program Files\Microsoft\Exchange Server\V15\Logging\Autodiscover eine Log Datei gefunden die den richtigen Zeitstempel hat. Im Eintrag stand der der Benutzer administrator@contoso.intern nicht gefunden wurde. Muss ich mir sorgen machen oder ist das unbedenklich? Grüße bearbeitet 5. März 2021 von EDV11 Zitieren Link zu diesem Kommentar
Thomas Maggnussen 2 Geschrieben 6. März 2021 Melden Teilen Geschrieben 6. März 2021 Microsoft schreibt auch: "These vulnerabilities are used as part of an attack chain. The initial attack requires the ability to make an untrusted connection to Exchange server port 443. This can be protected against by restricting untrusted connections, or by setting up a VPN to separate the Exchange server from external access." Wenn auf dem Exchange Server ein echtes SSL Zertifikat drauf ist (also keine Warnung kommt wenn man ihn mit https aufruft) dann funktioniert das doch eh nicht oder seh ich da was falsch? Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 6. März 2021 Melden Teilen Geschrieben 6. März 2021 Ja das siehst du falsch. 1 Zitieren Link zu diesem Kommentar
Dirk-HH-83 14 Geschrieben 6. März 2021 Melden Teilen Geschrieben 6. März 2021 (bearbeitet) Hallo, ESET Mail Security hat aus ein paar Einträge gefunden, kurioserweise findet das proxy login testscript auch im solarwind ordner einige einträge (aber kategorie "other") bearbeitet 7. März 2021 von Dirk-HH-83 Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 7. März 2021 Melden Teilen Geschrieben 7. März 2021 Der Microsoft Security Scanner (MSERT.EXE) kann die bekannten Muster jetzt auffinden (Microsoft Exchange Server Vulnerabilities Mitigations – updated March 6, 2021 – Microsoft Security Response Center) Zitat Microsoft Support Emergency Response Tool (MSERT) to scan Microsoft Exchange Server Microsoft Defender has included security intelligence updates to the latest version of the Microsoft Safety Scanner (MSERT.EXE) to detect and remediate the latest threats known to abuse the Exchange Server vulnerabilities disclosed on March 2, 2021. Administrators can use this tool for servers not protected by Microsoft Defender for Endpoint or where exclusions are configured for the recommended folders below. To use the Microsoft Support Emergency Response Tool (MSERT) to scan the Microsoft Exchange Server locations for known indicators from adversaries: Download MSERT from Microsoft Safety Scanner Download – Windows security. Note: In case you need to troubleshoot it, see How to troubleshoot an error when you run the Microsoft Safety Scanner. Read and accept the End user license agreement, then click Next. Read the Microsoft Safety Scanner Privacy Statement, then click Next. Select whether you want to do full scan, or customized scan. Full scan – The most effective way to thoroughly scan every file on the device. It is the most effective option although it might take a long time to complete depending on the directory size of your server. Customized scan – This can be configured to scan the following file paths where malicious files from the threat actor have been observed: %IIS installation path%\aspnet_client\* %IIS installation path%\aspnet_client\system_web\* %Exchange Server installation path%\FrontEnd\HttpProxy\owa\auth\* Configured temporary ASP.NET files path %Exchange Server Installation%\FrontEnd\HttpProxy\ecp\auth\* These remediation steps are effective against known attack patterns but are not guaranteed as complete mitigation for all possible exploitation of these vulnerabilities. Microsoft Defender will continue to monitor and provide the latest security updates. 1 Zitieren Link zu diesem Kommentar
Squire 261 Geschrieben 8. März 2021 Melden Teilen Geschrieben 8. März 2021 Sollte man eigentlich das BackendCookieMitigation.ps1 laufen und installieren lassen, wenn der Patch darauf ist und er Exchange auch nicht kompromittiert wurde? Hat das irgendwelche negativen Auswirkungen Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 8. März 2021 Autor Melden Teilen Geschrieben 8. März 2021 Ich habe / würde zusätzlich das von Jan verlinkte Tool von MS laufen lassen, der MSERT ist ganz gut geworden - allerdings entfernt der ohne Rückfrage... Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 8. März 2021 Melden Teilen Geschrieben 8. März 2021 vor 46 Minuten schrieb Squire: Sollte man eigentlich das BackendCookieMitigation.ps1 laufen und installieren lassen, wenn der Patch darauf ist und er Exchange auch nicht kompromittiert wurde? Hat das irgendwelche negativen Auswirkungen Wenn ich die Artikel richtig lese, dann ist das nicht notwendig, wenn die patches installiert sind. negative Effekte dürfte das nicht haben. Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 8. März 2021 Melden Teilen Geschrieben 8. März 2021 Am 5.3.2021 um 19:24 schrieb EDV11: habe das PowerShell Script auch auf einem Server laufen lassen. Beim Punkt: CVE-2021-26855 findet er einen Eintrag. Im abgelegten Log File findet sich folgender Eintrag: "2021-03-03T07:39:36.752Z","ServerInfo~a]@exchange.contoso.intern:444/autodiscover/autodiscover.xml?#" Haben dann im Ordner: C:\Program Files\Microsoft\Exchange Server\V15\Logging\Autodiscover eine Log Datei gefunden die den richtigen Zeitstempel hat. Im Eintrag stand der der Benutzer administrator@contoso.intern nicht gefunden wurde. Muss ich mir sorgen machen oder ist das unbedenklich? Im Exchange Blog schreibt "Microsoft" in den Kommentaren dazu (https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/bc-p/2188076/highlight/true#M29753): Zitat If you have ran the HAFNIUM detection commands or a script (we suggest the script to help get you a more comprehensive view of IOCs) and have seen entries similar to the following: "DATETIME","ServerInfo~a]@SERVERNAME.company.com:444/autodiscover/autodiscover.xml?#" This is an indication of ‘probing’ the server for this vulnerability, not an indication of actual compromise; you will have to correlate this with activities from other server logs and look for evidence of files that might have been left on the server to confirm if the server has actually been compromised. The above by itself does not indicate compromise has happened but it does indicate that someone was looking to. 1 Zitieren Link zu diesem Kommentar
EDV11 12 Geschrieben 8. März 2021 Melden Teilen Geschrieben 8. März 2021 @testperson Danke für die Info hatte ich noch nicht gelesen. Aktuell sieht auch alles gut aus nochmal Glück gehabt! Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 8. März 2021 Melden Teilen Geschrieben 8. März 2021 vor 5 Minuten schrieb EDV11: @testperson Danke für die Info hatte ich noch nicht gelesen. Aktuell sieht auch alles gut aus nochmal Glück gehabt! Ich würde definitiv die hier genannten Pfade auf verdächtigen Inhalt prüfen (HAFNIUM targeting Exchange Servers with 0-day exploits - Microsoft Security): Zitat Host IOCs Hashes Web shell hashes b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0 097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e 2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1 65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5 511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1 4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea 811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d 1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944 Paths We observed web shells in the following paths: C:\inetpub\wwwroot\aspnet_client\ C:\inetpub\wwwroot\aspnet_client\system_web\ In Microsoft Exchange Server installation paths such as: %PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\ C:\Exchange\FrontEnd\HttpProxy\owa\auth\ The web shells we detected had the following file names: web.aspx help.aspx document.aspx errorEE.aspx errorEEE.aspx errorEW.aspx errorFF.aspx healthcheck.aspx aspnet_www.aspx aspnet_client.aspx xx.aspx shell.aspx aspnet_iisstart.aspx one.aspx Check for suspicious .zip, .rar, and .7z files in C:\ProgramData\, which may indicate possible data exfiltration. Customers should monitor these paths for LSASS dumps: C:\windows\temp\ C:\root\ Bzw. eben den Microsoft Safety Scanner dafür nutzen: Microsoft Safety Scanner Download - Windows security | Microsoft Docs Zitieren Link zu diesem Kommentar
EDV11 12 Geschrieben 8. März 2021 Melden Teilen Geschrieben 8. März 2021 @testperson Danke für die Info! Wurde schon erledigt am We. Verzeichnisse wurden geprüft und MSERT ist auch gelaufen ohne Funde. Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 9. März 2021 Melden Teilen Geschrieben 9. März 2021 (bearbeitet) Microsoft stellt jetzt für ältere / unsupportete CUs auch einen entsprechenden Fix bereit: March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server - Microsoft Tech Community Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: March 2, 2021 (KB5000871): Zitat Version Updated on 3/8/21 PST Download Security Update For Exchange Server 2016 Cumulative Update 14 (KB5000871) Download Security Update For Exchange Server 2016 Cumulative Update 15 (KB5000871) Download Security Update For Exchange Server 2016 Cumulative Update 16 (KB5000871) Download Security Update For Exchange Server 2019 Cumulative Update 4 (KB5000871) Download Security Update For Exchange Server 2019 Cumulative Update 5 (KB5000871) Download Security Update For Exchange Server 2019 Cumulative Update 6 (KB5000871) Auf GitHub (CSS-Exchange/Security at main · microsoft/CSS-Exchange · GitHub) gibt es noch ein weiteres Script (CompareExchangeHashes.ps1), um die Installation auf infizierte Dateien zu durchsuchen. bearbeitet 9. März 2021 von testperson 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 9. März 2021 Melden Teilen Geschrieben 9. März 2021 Die patches dürften jetzt auch egal sein, weil die meisten Server schon betroffen sein dürften. :/ Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.