siberia21 13 Geschrieben 13. März 2021 Melden Teilen Geschrieben 13. März 2021 (bearbeitet) Richtig wie soll das auch gehen, ich wüsste nicht wie ich grob 50 leuten erklären soll, dass ihre Telefone, Tablets und Notebooks von unterwegs nicht mehr gehen. Es bleibt zu hoffen, dass es das erstmal war! Ich habe Panda auf das höchste Level drr Prozess Überwachubg eingestellt plus Firewall. Sollte ein Dienst etwas machen was er nicht schon seit Monaten macht, wird das aufgezeichnet und versucht sofort zu unterbinden. Mehr kann ich nicht machen. bearbeitet 13. März 2021 von siberia21 Zitieren Link zu diesem Kommentar
MrCocktail 192 Geschrieben 13. März 2021 Melden Teilen Geschrieben 13. März 2021 In dem Moment wo ich eine ernste Gefahr annehme, erkläre ich das nicht, sondern würde es einfach machen. Sicherheit geht vor Komfort. 2 Zitieren Link zu diesem Kommentar
Thomas Maggnussen 2 Geschrieben 14. März 2021 Melden Teilen Geschrieben 14. März 2021 Das bleibt natürlich jedem Admin selbst überlassen. Aber: Du hast die Verantwortung von über 50 Leuten bzw. der Arbeitsplätze und hier handelt es sich ja wirklich nicht um eine Kleinigkeit. Ohne Benutzerdaten mal schnell die Kontrolle über einen Exchange inkl. ADS übernehmen, Dienst oder Programm im Hintergrund installieren der auf Knopfdruck eventl. alles verschlüsselt? Ich weiß ja nicht, wie lange bei dir eine Rücksicherung von Daten/Exchange etc. dauert. Bei mir dauerts gut ne Woche bis alles wieder da ist. Das Risiko ist mir zu hoch und schlussendlich habe ich die Verantwortung, abgesehen von dem Stress den ich mir erst Recht nicht antun will. Wenn ich bei sowas nicht sofort handle und es passiert, dann darf ich mir erst Recht anhören warum ich ihn nicht vom Netz genommen habe, die Gefahr nicht erkannt habe etc. Da würde ich mir lieber das gejammere anhören, dass jemand von der Couch nicht seine Mails bearbeiten kann und an seinen Notebook per VPN ran muss. Ich meine: Ganze Bundesbehörden haben ihre Server vom Netz genommen. Bei Kunde 1 (45 Personen) gabs ne Mail dass er vom Netz geht und kein Empfang von externen Geräten mehr möglich ist. Über eine Woche ist er jetzt vom Netz und keinen störts. Noch dazu in diesen Corona Zeiten, ist doch eh jeder eher daheim wenn er nirgendwo hingehen darf. Beim zweiten (35) gabs von meinem "Special Kandidaten" natürlich nen Aufschrei und wann es wieder geht etc. Bin mit ihm gleich zum Chef, dann soll der das Entscheiden: Mal sehen... Im Worst-Case 35 Leute x 7 Tage komplett offline, Image Schaden beim Kunden, Aufträge können nicht eingehalten werden + meine Kosten zur Gesamtwiderherstellung + Nacharbeit. Fall war damit erledigt und ich raus aus der Verantwortung. Wenn ich richtig gelesen habe, musste man beim Ausführen des Patches darauf achten ihn explizit "Als Administrator" auszuführen damit er sicher funktioniert? Die Info kam natürlich erst Tage später... Hoffe natürlich auch, dass das ein einmaliger Leak war und nicht noch irgendwas gefunden und bereits ausgenutzt wird, wo noch keiner eine Ahnung hat. Mal sehen ob es morgen wieder was neues gibt das mir hilft zu entscheiden ob ich sie wieder online stelle. Schönen Rest-Sonntag & bleiben Sie und ihre Server gesund! 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 14. März 2021 Melden Teilen Geschrieben 14. März 2021 vor 43 Minuten schrieb Thomas Maggnussen: Die Info kam natürlich erst Tage später... Die Info steht seit JAHREN bei jedem Security Patch von Exchange dabei. Man müßte die entsprechenden Artikel halt auch mal lesen. ;) Zitieren Link zu diesem Kommentar
Lian 2.421 Geschrieben 14. März 2021 Melden Teilen Geschrieben 14. März 2021 Es ist nun genug mit den persönlichen Befindlichkeiten. Wer etwas zur Diskussion beitragen kann, so dass alle etwas davon haben: Gerne. Alles andere bitte ich jetzt wegzulassen. Back on topic Danke Euch 1 Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 14. März 2021 Melden Teilen Geschrieben 14. März 2021 Vielleicht abschließend zu dem Thema. Man trägt die Verantwortung ja nicht selbst, wenn man nicht der GF ist. Wenn man Dienstleister ist, stimmt man das Thema mit dem Kunden ab. Dieser muss ja eine Risiko Analyse tätigen und eine Entscheidung fällen. Als Angestellter Admin, stimmt man das mit seinem Vorgesetzen ab. Zitieren Link zu diesem Kommentar
gallahead 1 Geschrieben 14. März 2021 Melden Teilen Geschrieben 14. März 2021 Hallo, wie kann ich nachprüfen ob das Offline-Adressbuch abgesaugt wurde? Zitieren Link zu diesem Kommentar
MrCocktail 192 Geschrieben 14. März 2021 Melden Teilen Geschrieben 14. März 2021 vor 8 Stunden schrieb Dukel: Wenn man Dienstleister ist, stimmt man das Thema mit dem Kunden ab. Dieser muss ja eine Risiko Analyse tätigen und eine Entscheidung fällen. Als Angestellter Admin, stimmt man das mit seinem Vorgesetzen ab. Wir haben als Dienstleister auch schon mal einfach entschieden, dass wir patchen... Unsere Verträge sehen dass vor, und ich ziehe mir lieber den Unmut zu, dass Systeme mal schlechter Verfügbar sind, oder auch einfach während der Office Zeiten neustarten, als dem Kunden erklären zu müssen, du wurdest erfolgreich angegriffen, weil wir uns nicht abstimmen konnten. Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 14. März 2021 Melden Teilen Geschrieben 14. März 2021 Wann man das mit dem Kunden abstimmt ist ja egal. Am besten, wie bei euch, vorher. Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 15. März 2021 Melden Teilen Geschrieben 15. März 2021 Mal eine Frage: Hat von euch schon einen oder mehrere Fälle gesehen, wo die Angreifer auch im AD etwas verändert haben? Oder blieb das bis jetzt nur lokal auf dem Exchange? Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 15. März 2021 Melden Teilen Geschrieben 15. März 2021 Allgemein oder wegen der aktuellen Lücken? Ich zietiere einmal https://www.msxfaq.de/exchange/update/hafnium-exploit.htm#was_tun_bei_erkanntem_einbruch_ Quote Stellen Sie sich vor, sie haben eine PowerShell auf einem Server mit "LocalSystem" und "ExchangeTrustedSubsystem" in einem fremden Netzwerk und sie haben kriminelle Energie. Was könnten sie alles anstellen? Ziemlich viel und auf ziemlich vielen Servern. Eigentlich hat das Gesamtsystem als kompromittiert zu gelten. Es kann keine allgemein gültige Empfehlung geben, den Sie wissen ja nicht, wie tief der Angriff war und welche "Hinterlassenschaften" in ihrem System zu finden sind. Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 15. März 2021 Melden Teilen Geschrieben 15. März 2021 vor 22 Minuten schrieb Dukel: Allgemein oder wegen der aktuellen Lücken? Wegen der aktuellen Situation. Das Video auf der Seite kannte ich noch nicht. Ja klar, das ist ja schon eine Waffe, was da verwendet werden kann. Ich hatte mich ja in den Foren auch schon umgesehen, was andere so machen. Das geht von der Reparatur und über das Neuaufsetzen vom Exchange. Manche vertrauen darauf, dass sie so firm sind, dass man wohl alles gefunden hat. Andere vertrauen auf die Tools die es dafür gibt. Und andere sagen sich, wer weiß, was da alles passiert ist, ich setzte den Exchange neu auf. Aber ich habe noch nicht davon gelesen, dass einer die AD neu aufsetzt. Wie der Frank ja auch auf seiner Seite geschrieben hat. Es ist ein Restrisiko. Ich habe auch noch nichts gelesen, dass einer definitiv Änderungen im AD gefunden hatte. Zitieren Link zu diesem Kommentar
MrCocktail 192 Geschrieben 15. März 2021 Melden Teilen Geschrieben 15. März 2021 Hi, also ich kenne im weiteren Umfeld alles ... Wir direkt haben wohl Schwein gehabt und waren anscheinend nicht betroffen .... keine Firewall Logs zeigen auffälligkeiten keine Veränderungen an den Systemen usw. Zwei befreundete Admins haben nur in den Logs der Firewall etwas gefunen Netscaler 2FA hat die Systeme gerettet 1 bekannter erzählte, dass die Firma ihre komplette Landschaft dichtgemacht hat und jetzt gerade neu aufbaut etwa 70 vServer usw. inkl. Sap, Datenabfluss ist noch nicht geklärt Ich glaube, das letzte wird man so lange es geht vermeiden und wenn im ersten Schritt auch nicht groß kommunizieren wollen. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 15. März 2021 Melden Teilen Geschrieben 15. März 2021 Ich kenne mindestens eine Umgebung, da wurde die lsass gedumpt. Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 15. März 2021 Melden Teilen Geschrieben 15. März 2021 Moin, vor 2 Stunden schrieb RalphT: Ich habe auch noch nichts gelesen, dass einer definitiv Änderungen im AD gefunden hatte. wenn ein Angreifer ansatzweise gut ist, dann wird er die wirklich interessanten Angriffe auch verbergen können. Man kann sich dauerhaft "Gott-Modus"-Adminrechte verschaffen, ohne ein einziges Objekt im AD zu verändern. Such mal nach dem Stichwort "Golden Ticket" im Zusammenhang mit AD. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.