Jump to content

Exchange Security Fixes - 03/2021


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

  • 2 Wochen später...

Vielen Dank für die vielen Links und Anregungen!

Als kleiner (aber feiner :-)) IT Dienstleister hat man es gerade nicht leicht. Wie einige Vorredner ja schon berichteten, ist es nicht immer ganz einfach, die Kunden davon zu überzeugen, die Systeme up-to-date zu halten, bzw. dafür Knete rauszutun. Ich habe mir aus reinem Selbstschutz schon vor Jahren zur Regel gemacht, dass ich potentielle Kunden, die nicht auf mein Grundkonzept eingehen - schlicht und ergreifend nicht betreue.

 

Dazu gehören u.a. ordentliche Hardware, eine Firewall, der Virenschutz, Email-Archivierung und das Backup. Und da ich mich in der Microsoft-Welt bewege, gehört auch ein Exchange Server dazu. Egal, ob 5 oder 500 User. Nun war es vor einigen Jahren noch recht mühselig, ein ordentliches Backup-System zu verkaufen. Gerne wurde auf USB-Drives "gesichert". Wenn dann später nichts drauf war, hat man große Augen gemacht. Von einer vernünftigen Firewall oder Email-Archivierung ganz zu schweigen. Mittlerweile sind die Kunden in diesem Bereich glücklicherweise etwas sensibler geworden. Sicher auch dank der verganenen Angriffe wie WannaCry und Co und der Berichterstattung in Funk und Fernsehen. 

 

Ich möchte behaupten, ich arbeite recht gewissenhaft, aber ich installiere auch nicht jedes CU. Man möchte den Kunden am Ende des Tages auch gern behalten.

All meine Kunden haben eine Sophos FullGuard und F-Secure. Die Regeln in der Firewall sind auf das nötigste beschränkt, der einzige öffentliche Port ist 443 für OWA. Alles andere geht über VPN. Sei es Site-To-Site, oder RoadWarrior.

 

Bisher sehen die Systeme sauber aus. Aber dennoch, trotz IDS und WAF, sowie alles im grünen Bereich zeigende Virenscanner (F-Secure Server Security, MS Defender und Microsoft Safety Scanner) kann ich mir nach wie vor nicht 100% sicher sein, dass die Systeme clean sind. Ist schon übel. Das muss man auch dem Kunden erstmal nahebringen. Aber ich bin hauptberuflich nun mal kein IT-Forensiker.

 

Allen, die in einer ähnlichen Situation stecken und sich überfordert fühlen, empfehle ich: Ruhe bewahren!

Wenn HAFNIUM durchgekommen ist, dann ist das eben so. Daran kann man nichts mehr ändern. 

 

Die letzten zwei Wochen bin ich bei meinen Kunden wie folgt vorgegangen:

 

Zunächst habe ich den Port 443 dicht gemacht. Anschließend habe ich den Kunden informiert. Dann habe ich den jeweilig zutreffenden Patch und natürlich alle zur Verfügung stehenden Updates installiert.

Anschließend sämtliche, mir zur Verfügung stehende Scanner drüber laufen gelassen. Hier gab es bei einem Kunden eine Backdoor (REDCAP), wobei sich MS-Defender und F-Secure mit Ihren Meldungen gegenseitig die Klinke in die Hand gaben. Mehrmalige Aufforderungen zum Neustart bin ich nachgekommen, des Perpetuum Moblié lief aber weiter und weiter.

 

Die Betroffenen Dateien Namens "App_Web_xyz123.aspx" im Verzeichnis "C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\e22c2559\92c7e946\" habe ich kurzer Hand manuell gelöscht. Ein erneuter Virenscan meldete keinen Befund mehr. Server neu gestartet, Alle Scanner erneut drüber laufen lassen. Nichts. Die Dateien sind bis heute auch nicht wieder aufgetaucht. Soweit, so gut.

 

Eine - zugegeben recht oberflächliche - Überprüfung auf Webshells habe ich ebenfalls durchgeführt, aber wie gesagt, ich bin kein IT-Forensiker und muss mir da natürlich auch immer wieder neue Infos in den entsprechenden Knowledgebases oder Foren einholen. 

 

Absätze wie

 

Zitat

Eine mögliche Shell wurde z. B. unter %PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy \owa\auth\ als RedirSuiteServerProxy.aspx abgelegt. Generell sind alle kürzlich erzeugten .aspx-Dateien verdächtig. Allerdings könnte eine Webshell auch in bestehende Dateien hinzugefügt werden, indem eine einzige Zeile eingefügt wird. Hinweis: Die RedirSuiteServiceProxy.aspx ist grundsätzlich legitim.

 

aus dem BSI-Paper sind da auch gern mal etwas verwirrend. Die besagte Datei existiert. Bin ich also betroffen? Bekommste doch erstmal einen leicht flauen Magen. Ein timestamp aus 2018 lässt vermuten, dass alles Koscher ist. Aber den Inhalt der Datei kann ich nicht eindeutig beglaubigen. Sieht für mich erst mal gut aus, aber sich sicher sein, ist was anderes. Wer hier überließt "Die RedirSuiteServiceProxy.aspx ist grundsätzlich legitim" hat da sicher gern schonmal ein mittleres Magengeschwür.

 

Wie dem auch sei... nach dem Scan ist vor dem Scan... weiter gehts.

 

Etwas Gutes hat das Ganze: Es wird künftig wieder ein Stück einfacher, vernünftige Sicherheitslösungen angedeihen zu lassen :-)

 

LG

- Pie

bearbeitet von Pie
Link zu diesem Kommentar
vor 4 Stunden schrieb Pie:

Ein timestamp aus 2018 lässt vermuten, dass alles Koscher ist. Aber den Inhalt der Datei kann ich nicht eindeutig beglaubigen. Sieht für mich erst mal gut aus, aber sich sicher sein, ist was anderes. Wer hier überließt "Die RedirSuiteServiceProxy.aspx ist grundsätzlich legitim" hat da sicher gern schon mal ein mittleres Magengeschwür.

Auch bei mir ist Datei mit einem Timestamp aus 2018 vorhanden. Bei mir ist das so aber in Ordnung.

 

Allerdings würde ich bei einem verifizierten Fund (Datei mal bei Virustotal checken) sofort den Exchange neu installieren und nur die DB übernehmen. Auch mindestens die anderen Server dann auch offline scannen. Auch dann kannst Du Dir nicht sicher sein, was sonst noch alles passiert ist. Aber sollte etwas schlimmeres passieren und die Frage: "Ob man das nicht hätte besser machen können.", wird gestellt, würde ich diese in allen Fällen mit nein beantworten wollen. Wenn der Kunde das nicht will, gut, dann ist er aber auch selber schuld. Glück hat, wer da nur für den eigenen Laden verantwortlich ist. Für eine Neuinstallation mit den nachfolgenden Problemen braucht es schon einen Anhaltspunkt, aber ein verifizierter Fund wäre das. Für andere Systeme bräuchte es natürlich einen weiteren Anhaltspunkt. Panisch alles neu installieren ist natürlich auch kein Weg. Aber mit einem aktiven Fund, seltsame Konten usw., dann schon.

bearbeitet von wznutzer
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...