zahni 554 Geschrieben 15. März 2021 Melden Teilen Geschrieben 15. März 2021 Ein Lieferant hat mir erzählt, dass MS jetzt ihren Willen bekommen hat und zur MS-Cloud gewechselt hat. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 15. März 2021 Melden Teilen Geschrieben 15. März 2021 vor 1 Stunde schrieb NilsK: wenn ein Angreifer ansatzweise gut ist Muss er ja nicht mal. :( Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 15. März 2021 Melden Teilen Geschrieben 15. März 2021 Hallo, folgende Baselines fehlen noch im Script CompareExchangeHashes: 15.1.1466.12 15.1.1591.12 15.1.1713.6 15.1.225.45 15.1.225.49 15.1.466.37 So ein bisschen wundern tut mich das. Bin ich einer der wenigen die immer alle Patches installieren, oder löscht ihr die Verzeichnisse? Grüße Zitieren Link zu diesem Kommentar
MrCocktail 194 Geschrieben 16. März 2021 Melden Teilen Geschrieben 16. März 2021 Wir bewerten jeden Patch und wenn wir zu dem Schluss kommen, dass der Patch nicht zwingend notwendig ist, dann überspringen wir diesen auch schon einmal (gerade wenn parallel vielleicht auch schon das CU angekündigt ist) Zitieren Link zu diesem Kommentar
Pie 11 Geschrieben 25. März 2021 Melden Teilen Geschrieben 25. März 2021 (bearbeitet) Vielen Dank für die vielen Links und Anregungen! Als kleiner (aber feiner ) IT Dienstleister hat man es gerade nicht leicht. Wie einige Vorredner ja schon berichteten, ist es nicht immer ganz einfach, die Kunden davon zu überzeugen, die Systeme up-to-date zu halten, bzw. dafür Knete rauszutun. Ich habe mir aus reinem Selbstschutz schon vor Jahren zur Regel gemacht, dass ich potentielle Kunden, die nicht auf mein Grundkonzept eingehen - schlicht und ergreifend nicht betreue. Dazu gehören u.a. ordentliche Hardware, eine Firewall, der Virenschutz, Email-Archivierung und das Backup. Und da ich mich in der Microsoft-Welt bewege, gehört auch ein Exchange Server dazu. Egal, ob 5 oder 500 User. Nun war es vor einigen Jahren noch recht mühselig, ein ordentliches Backup-System zu verkaufen. Gerne wurde auf USB-Drives "gesichert". Wenn dann später nichts drauf war, hat man große Augen gemacht. Von einer vernünftigen Firewall oder Email-Archivierung ganz zu schweigen. Mittlerweile sind die Kunden in diesem Bereich glücklicherweise etwas sensibler geworden. Sicher auch dank der verganenen Angriffe wie WannaCry und Co und der Berichterstattung in Funk und Fernsehen. Ich möchte behaupten, ich arbeite recht gewissenhaft, aber ich installiere auch nicht jedes CU. Man möchte den Kunden am Ende des Tages auch gern behalten. All meine Kunden haben eine Sophos FullGuard und F-Secure. Die Regeln in der Firewall sind auf das nötigste beschränkt, der einzige öffentliche Port ist 443 für OWA. Alles andere geht über VPN. Sei es Site-To-Site, oder RoadWarrior. Bisher sehen die Systeme sauber aus. Aber dennoch, trotz IDS und WAF, sowie alles im grünen Bereich zeigende Virenscanner (F-Secure Server Security, MS Defender und Microsoft Safety Scanner) kann ich mir nach wie vor nicht 100% sicher sein, dass die Systeme clean sind. Ist schon übel. Das muss man auch dem Kunden erstmal nahebringen. Aber ich bin hauptberuflich nun mal kein IT-Forensiker. Allen, die in einer ähnlichen Situation stecken und sich überfordert fühlen, empfehle ich: Ruhe bewahren! Wenn HAFNIUM durchgekommen ist, dann ist das eben so. Daran kann man nichts mehr ändern. Die letzten zwei Wochen bin ich bei meinen Kunden wie folgt vorgegangen: Zunächst habe ich den Port 443 dicht gemacht. Anschließend habe ich den Kunden informiert. Dann habe ich den jeweilig zutreffenden Patch und natürlich alle zur Verfügung stehenden Updates installiert. Anschließend sämtliche, mir zur Verfügung stehende Scanner drüber laufen gelassen. Hier gab es bei einem Kunden eine Backdoor (REDCAP), wobei sich MS-Defender und F-Secure mit Ihren Meldungen gegenseitig die Klinke in die Hand gaben. Mehrmalige Aufforderungen zum Neustart bin ich nachgekommen, des Perpetuum Moblié lief aber weiter und weiter. Die Betroffenen Dateien Namens "App_Web_xyz123.aspx" im Verzeichnis "C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\e22c2559\92c7e946\" habe ich kurzer Hand manuell gelöscht. Ein erneuter Virenscan meldete keinen Befund mehr. Server neu gestartet, Alle Scanner erneut drüber laufen lassen. Nichts. Die Dateien sind bis heute auch nicht wieder aufgetaucht. Soweit, so gut. Eine - zugegeben recht oberflächliche - Überprüfung auf Webshells habe ich ebenfalls durchgeführt, aber wie gesagt, ich bin kein IT-Forensiker und muss mir da natürlich auch immer wieder neue Infos in den entsprechenden Knowledgebases oder Foren einholen. Absätze wie Zitat Eine mögliche Shell wurde z. B. unter %PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy \owa\auth\ als RedirSuiteServerProxy.aspx abgelegt. Generell sind alle kürzlich erzeugten .aspx-Dateien verdächtig. Allerdings könnte eine Webshell auch in bestehende Dateien hinzugefügt werden, indem eine einzige Zeile eingefügt wird. Hinweis: Die RedirSuiteServiceProxy.aspx ist grundsätzlich legitim. aus dem BSI-Paper sind da auch gern mal etwas verwirrend. Die besagte Datei existiert. Bin ich also betroffen? Bekommste doch erstmal einen leicht flauen Magen. Ein timestamp aus 2018 lässt vermuten, dass alles Koscher ist. Aber den Inhalt der Datei kann ich nicht eindeutig beglaubigen. Sieht für mich erst mal gut aus, aber sich sicher sein, ist was anderes. Wer hier überließt "Die RedirSuiteServiceProxy.aspx ist grundsätzlich legitim" hat da sicher gern schonmal ein mittleres Magengeschwür. Wie dem auch sei... nach dem Scan ist vor dem Scan... weiter gehts. Etwas Gutes hat das Ganze: Es wird künftig wieder ein Stück einfacher, vernünftige Sicherheitslösungen angedeihen zu lassen LG - Pie bearbeitet 25. März 2021 von Pie 1 Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 25. März 2021 Melden Teilen Geschrieben 25. März 2021 (bearbeitet) vor 4 Stunden schrieb Pie: Ein timestamp aus 2018 lässt vermuten, dass alles Koscher ist. Aber den Inhalt der Datei kann ich nicht eindeutig beglaubigen. Sieht für mich erst mal gut aus, aber sich sicher sein, ist was anderes. Wer hier überließt "Die RedirSuiteServiceProxy.aspx ist grundsätzlich legitim" hat da sicher gern schon mal ein mittleres Magengeschwür. Auch bei mir ist Datei mit einem Timestamp aus 2018 vorhanden. Bei mir ist das so aber in Ordnung. Allerdings würde ich bei einem verifizierten Fund (Datei mal bei Virustotal checken) sofort den Exchange neu installieren und nur die DB übernehmen. Auch mindestens die anderen Server dann auch offline scannen. Auch dann kannst Du Dir nicht sicher sein, was sonst noch alles passiert ist. Aber sollte etwas schlimmeres passieren und die Frage: "Ob man das nicht hätte besser machen können.", wird gestellt, würde ich diese in allen Fällen mit nein beantworten wollen. Wenn der Kunde das nicht will, gut, dann ist er aber auch selber schuld. Glück hat, wer da nur für den eigenen Laden verantwortlich ist. Für eine Neuinstallation mit den nachfolgenden Problemen braucht es schon einen Anhaltspunkt, aber ein verifizierter Fund wäre das. Für andere Systeme bräuchte es natürlich einen weiteren Anhaltspunkt. Panisch alles neu installieren ist natürlich auch kein Weg. Aber mit einem aktiven Fund, seltsame Konten usw., dann schon. bearbeitet 25. März 2021 von wznutzer Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.