NorbertFe 2.034 Geschrieben 10. März 2021 Melden Teilen Geschrieben 10. März 2021 vor 13 Minuten schrieb siberia21: war mir dann aber ehrlich gesagt auch egal. Es ist NICHT deine Umgebung und deine Daten und die Verantwortung kann der Kunde auch nicht in dem Maße wegdelegieren. auch wenn viele das glauben (auf beiden Seiten). Und glaub mir, ich kenne sowohl solche Kunden und auch bei größeren Kunden gibts solche Kandidaten, bei denen man sich nur noch an den Kopf fassen will (sollte man nur nicht im Kundengespräch tun) :) Zitieren Link zu diesem Kommentar
siberia21 13 Geschrieben 10. März 2021 Melden Teilen Geschrieben 10. März 2021 (bearbeitet) Ja aber es ist wie eine wärmende Decke, wenn man weis man hat alles gemacht was nötig ist! Nur dafür muss man mich auch machen lassen. Hier musste ich beim Kunden ordentlich Druck machen, überleg mal Exchange im RTM Zustand, gehts noch... da viel mir auch nichts mehr zu ein. Aber es läuft doch... ja klar mein Auto läuft auch bis irgendwas abfällt... aber ich war vorher bei der Inspektion alle 15.000 Kilometer. Das sollte beim Computern selbstverständlich sein. Ist es aber nicht... Was für ein Tara man hat wenn es um 20H z.b. geht. Der Kunde übrigens genau der Kunde hat auch 6 Monate gewartet bis ich endlich die Firma durch Patchen konnte. Ach ja und Windows 10 wurde 1 Tag nach Ablauf von Windows 7 überall aufgespielt und jetzt finde ich ein Notebook mit Windows 7... ich dachte ich spinne... bearbeitet 10. März 2021 von siberia21 Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 10. März 2021 Melden Teilen Geschrieben 10. März 2021 Wir machen das alles schriftlich und lassen und auch Dinge abzeichnen. Mehr als auf Dringlichkeit hinweisen können wir nicht. vor 39 Minuten schrieb siberia21: und jetzt finde ich ein Notebook mit Windows 7... ich dachte ich spinne... Das ist doch brandneu. Da kenne ich Kunden mit viel älteren Maschinen. Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 11. März 2021 Melden Teilen Geschrieben 11. März 2021 Moin, das Test-Proxy Powershell Script hat am 5.3 und 6.3 Aktivitäten gefunden. Am 7.3 habe ich den Patch installiert. Nun scheint Ruhe zu sein. Reicht es alle Updates zu machen, oder sollte man hier noch andere Schritte ausführen? Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 11. März 2021 Melden Teilen Geschrieben 11. März 2021 (bearbeitet) Ich würde definitiv mindestens mal noc das MSERT Tool drüber jagen und an den diversen Stellen nach Webshells suchen. P.S.: Wäre evtl. nicht nur in Bayern hilfreich (Exchange Sicherheitslücken (bayern.de)): Zitat Was prüft nun das Bayerische Landesamt für Datenschutzaufsicht (BayLDA)? Im Rahmen seiner Ad-hoc-Cybersicherheitsprüfung identifiziert das BayLDA anfällige Exchange Server in Bayern und kontaktiert anschließend deren Betreiber. Dabei werden stichprobenartig tausende Systeme hinsichtlich der beschriebenen Schwachstellen mittels eines Prüfskripts kontrolliert. Hier noch die Pressemitteilung "dazu": BayLDA Pressemitteilung zu Microsoft Exchange Sicherheitslücken (bayern.de) Gleich gibt es noch einen Livestream mit dem BSI zum "Exchange Hack": Livestream zum Exchange-Hack: BSI beantwortet Fragen ab 15:30 Uhr | heise online bearbeitet 11. März 2021 von testperson 2 Zitieren Link zu diesem Kommentar
MrCocktail 192 Geschrieben 12. März 2021 Melden Teilen Geschrieben 12. März 2021 vor 18 Stunden schrieb Dutch_OnE: Moin, das Test-Proxy Powershell Script hat am 5.3 und 6.3 Aktivitäten gefunden. Am 7.3 habe ich den Patch installiert. Nun scheint Ruhe zu sein. Reicht es alle Updates zu machen, oder sollte man hier noch andere Schritte ausführen? Hi, hast du denn nur "Versuche" gefunden, oder danach wirklich dann gesucht, ob etwas ungewöhnliches los ist? Wir haben alle Kunden direkt am Mittwoch gepatcht und sind seit dem jeden Tag dabei, zu schauen ob nicht doch irgendwo etwas ist, was wir im ersten Moment nicht gesehen haben.... Bisher scheint es so, dass wir schnell genug gewesen sind. Ein Vorteil, alles Outsourcing, unsere Betriebsverantwortung und wir haben entschieden und nicht mehr groß gefragt. Allerdings will ich mir gar nicht vorstellen, was wir tun würden, wenn wir wirklich annehmen müssten, der Exchange Server sei betroffen, ich glaube dann würde ich direkt den kompletten Neuaufbau empfehlen, denn sicher sein könnte man sich nicht mehr, dass nicht doch irgendwas / irgendwo schlummert. Gruß J BSI Stream zu dem Thema Zitieren Link zu diesem Kommentar
siberia21 13 Geschrieben 12. März 2021 Melden Teilen Geschrieben 12. März 2021 Ich habe vorgestern alles dicht gemacht, soweit möglich durch den Patch! Das einspielen von CU23 und dem Patch verlief unproblematisch, auch wenn ich die VM mit ihren 360 GB immer vorher gesichert habe! Das ist zum Glück recht einfach und bei der Performance des Servers eine Sache von Minuten. Gestern ging ich dann mit dem TestScript durch: Das Ergebnis war zum Glück... : Null das einzige was in einem Exchange aktiv ist, ist Panda Adaptiv Defenz und das ist so gewollt. Ich überlege noch ob ich bei Panda die Thread Protection aktiviere was natürlich mit einem Performance Verlust einher geht, weil alle Prozesse auf ungewöhnliche Aktivitäten für sie überwacht werden. Auf meinen Terminal und FileServern als auch allen Arbeitsplätzen nutze ich das schon seit Jahren! Hat schon das eine oder andere Sinnvoll verhindert - Allerdings ist man gegen dumheit nicht gewappnet: Leider ist das hier wie man bei Heise gestern gut nachlesen konnte im Grunde eine Frechheit! https://www.heise.de/news/Der-Hafnium-Exchange-Server-Hack-Anatomie-einer-Katastrophe-5077269.html Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 12. März 2021 Melden Teilen Geschrieben 12. März 2021 Guten Tag, das Prüfskript scheint nicht alle regulär vorhandenen Verzeichnisse zu kennen. Wenn der Exchange schon etwas älter ist, sammeln sich ja da die verschiedenen Verzeichnisse mit den Versionsnummern. Ihr kennt das, es wird immer mal wieder diskutiert ob das gelöscht werden kann. Das Prüfskript scheint nur die CUs zu kennen. Aber kleinere Updates zwischendrin bringen da manchmal auch andere Versionen mit. Das wird dann als "One or more potentially malicious files found" gemeldet und kann bei MS hochgeladen werden. Das sind z. B. die Verzeichnisse 15.1.1261.36, 15.1.1261.39, 15.1.1713.1, 15.1.1713.6, 15.1.1713.7, 15.1.1713.8. Nur als Info. Falls jemand andere Informationen / andere Einschätzung hat, bitte hier notieren. Der Upload der Ergebnisdatei hat ebenfalls "no malware detected" angezeigt. Grüße Zitieren Link zu diesem Kommentar
jimmyone 15 Geschrieben 12. März 2021 Melden Teilen Geschrieben 12. März 2021 Du sprichst vom Compare Hashes Powershell Script? Das hat bei uns auch ein seltsames Verhalten gezeigt. Es hat die web.config aus dem wwwroot des iis als verdächtig markiert. Wir haben das File geprüft, hatten das vorher auch schon geprüft und keine Veränderungen festgestellt. Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 12. März 2021 Melden Teilen Geschrieben 12. März 2021 Ja, zu Anfangs hat es gar nicht funktioniert. Es wurde aber fast im 2-Stunden Abstand aktualisiert. Jetzt läuft es ohne Fehler, findet aber jede Menge Dateien, von denen ich sicher weiß, dass diese schon seit Jahren da sind. Ich habe nämlich schon zig mal darüber nachgedacht diese zu löschen und dann doch nicht gelöscht. Ich habe nun auch alle Dokumente von Microsoft mehrfach durchgesehen. ActiveSync ist nicht genannt. Das BSI nennt aber auch ActiveSync. Wenn ich die Lücken richtig verstanden habe, müsste mindestens CVE-2021-26855 auch bei ActiveSync möglich sein. Bei den anderen finde ich keine genaueren Informationen. Derzeit sieht es für mich so aus, als ob das Anklopfen per Autodiscover stattgefunden hat. War das nicht veröffentlicht, ist der Angreifer wohl weitergezogen. Sicher ist das aber nicht. Weiß da jemand mehr? Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 12. März 2021 Melden Teilen Geschrieben 12. März 2021 vor 8 Stunden schrieb siberia21: Leider ist das hier wie man bei Heise gestern gut nachlesen konnte im Grunde eine Frechheit! Gut, dann ist das ja auch mal gesagt. 🙃 Zitieren Link zu diesem Kommentar
MrCocktail 192 Geschrieben 12. März 2021 Melden Teilen Geschrieben 12. März 2021 vor 4 Stunden schrieb wznutzer: Guten Tag, das Prüfskript scheint nicht alle regulär vorhandenen Verzeichnisse zu kennen. Wenn der Exchange schon etwas älter ist, sammeln sich ja da die verschiedenen Verzeichnisse mit den Versionsnummern. Ihr kennt das, es wird immer mal wieder diskutiert ob das gelöscht werden kann. Das Prüfskript scheint nur die CUs zu kennen. Aber kleinere Updates zwischendrin bringen da manchmal auch andere Versionen mit. Das wird dann als "One or more potentially malicious files found" gemeldet und kann bei MS hochgeladen werden. Das sind z. B. die Verzeichnisse 15.1.1261.36, 15.1.1261.39, 15.1.1713.1, 15.1.1713.6, 15.1.1713.7, 15.1.1713.8. Nur als Info. Falls jemand andere Informationen / andere Einschätzung hat, bitte hier notieren. Der Upload der Ergebnisdatei hat ebenfalls "no malware detected" angezeigt. Grüße Einfach noch einmal die neueste Version des Scriptes nutzen? MS ist immer noch dabei und prüft alle Versionen. Bei uns hat er auch die web.config angemeckert und wie sich herausstellt, zu recht Wir haben da Änderungen vorgenommen, wie in unserem Change Log nachzulesen ist, dieses muss man berücksichtigen. Microsoft kann nicht wissen, ob ihr darin Einstellungen verändert habt. 15.1.1211.39 ist jetzt da 15.1.1713.7 & 8 auch Wenn ihr die Checkergebnisse also Microsoft zur Verfügung stellt, dann schauen Sie auch die Versionen an und bringen weitere Baselines, die letzten Updates sind vor 60min bereitgestellt worden. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 12. März 2021 Melden Teilen Geschrieben 12. März 2021 Das msret ist inzwischen auch hypersensibel und erkennt 2 Schädlinge auch auf einer Neuinstallation ohne jeglichen externen Zugang. Am Ende bekommt man dann trotzdem grünen Haken. Zitieren Link zu diesem Kommentar
Thomas Maggnussen 2 Geschrieben 13. März 2021 Melden Teilen Geschrieben 13. März 2021 Rüdiger Trost (F-Secure) warum Deutschland besonders betroffen ist: "Deutsche Unternehmen fürchten die Cloud und betreiben Dienste wie Exchange daher häufig lokal." Gute Werbund für Microsoft´s Cloud und wir sind selber Schuld dass wir nicht auch dort hosten. Habt ihr eure Exchange schon wieder ins Internet gehängt? Streub mich ehrlich gesagt noch ein wenig, sie wieder erreichbar zu machen. Zitieren Link zu diesem Kommentar
MrCocktail 192 Geschrieben 13. März 2021 Melden Teilen Geschrieben 13. März 2021 Wir haben Sie nie vom Netz genommen, allerdings momentan unter permanenter Beobachtung. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.