Vielen Dank für die vielen Links und Anregungen!
Als kleiner (aber feiner ) IT Dienstleister hat man es gerade nicht leicht. Wie einige Vorredner ja schon berichteten, ist es nicht immer ganz einfach, die Kunden davon zu überzeugen, die Systeme up-to-date zu halten, bzw. dafür Knete rauszutun. Ich habe mir aus reinem Selbstschutz schon vor Jahren zur Regel gemacht, dass ich potentielle Kunden, die nicht auf mein Grundkonzept eingehen - schlicht und ergreifend nicht betreue.
Dazu gehören u.a. ordentliche Hardware, eine Firewall, der Virenschutz, Email-Archivierung und das Backup. Und da ich mich in der Microsoft-Welt bewege, gehört auch ein Exchange Server dazu. Egal, ob 5 oder 500 User. Nun war es vor einigen Jahren noch recht mühselig, ein ordentliches Backup-System zu verkaufen. Gerne wurde auf USB-Drives "gesichert". Wenn dann später nichts drauf war, hat man große Augen gemacht. Von einer vernünftigen Firewall oder Email-Archivierung ganz zu schweigen. Mittlerweile sind die Kunden in diesem Bereich glücklicherweise etwas sensibler geworden. Sicher auch dank der verganenen Angriffe wie WannaCry und Co und der Berichterstattung in Funk und Fernsehen.
Ich möchte behaupten, ich arbeite recht gewissenhaft, aber ich installiere auch nicht jedes CU. Man möchte den Kunden am Ende des Tages auch gern behalten.
All meine Kunden haben eine Sophos FullGuard und F-Secure. Die Regeln in der Firewall sind auf das nötigste beschränkt, der einzige öffentliche Port ist 443 für OWA. Alles andere geht über VPN. Sei es Site-To-Site, oder RoadWarrior.
Bisher sehen die Systeme sauber aus. Aber dennoch, trotz IDS und WAF, sowie alles im grünen Bereich zeigende Virenscanner (F-Secure Server Security, MS Defender und Microsoft Safety Scanner) kann ich mir nach wie vor nicht 100% sicher sein, dass die Systeme clean sind. Ist schon übel. Das muss man auch dem Kunden erstmal nahebringen. Aber ich bin hauptberuflich nun mal kein IT-Forensiker.
Allen, die in einer ähnlichen Situation stecken und sich überfordert fühlen, empfehle ich: Ruhe bewahren!
Wenn HAFNIUM durchgekommen ist, dann ist das eben so. Daran kann man nichts mehr ändern.
Die letzten zwei Wochen bin ich bei meinen Kunden wie folgt vorgegangen:
Zunächst habe ich den Port 443 dicht gemacht. Anschließend habe ich den Kunden informiert. Dann habe ich den jeweilig zutreffenden Patch und natürlich alle zur Verfügung stehenden Updates installiert.
Anschließend sämtliche, mir zur Verfügung stehende Scanner drüber laufen gelassen. Hier gab es bei einem Kunden eine Backdoor (REDCAP), wobei sich MS-Defender und F-Secure mit Ihren Meldungen gegenseitig die Klinke in die Hand gaben. Mehrmalige Aufforderungen zum Neustart bin ich nachgekommen, des Perpetuum Moblié lief aber weiter und weiter.
Die Betroffenen Dateien Namens "App_Web_xyz123.aspx" im Verzeichnis "C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\e22c2559\92c7e946\" habe ich kurzer Hand manuell gelöscht. Ein erneuter Virenscan meldete keinen Befund mehr. Server neu gestartet, Alle Scanner erneut drüber laufen lassen. Nichts. Die Dateien sind bis heute auch nicht wieder aufgetaucht. Soweit, so gut.
Eine - zugegeben recht oberflächliche - Überprüfung auf Webshells habe ich ebenfalls durchgeführt, aber wie gesagt, ich bin kein IT-Forensiker und muss mir da natürlich auch immer wieder neue Infos in den entsprechenden Knowledgebases oder Foren einholen.
Absätze wie
aus dem BSI-Paper sind da auch gern mal etwas verwirrend. Die besagte Datei existiert. Bin ich also betroffen? Bekommste doch erstmal einen leicht flauen Magen. Ein timestamp aus 2018 lässt vermuten, dass alles Koscher ist. Aber den Inhalt der Datei kann ich nicht eindeutig beglaubigen. Sieht für mich erst mal gut aus, aber sich sicher sein, ist was anderes. Wer hier überließt "Die RedirSuiteServiceProxy.aspx ist grundsätzlich legitim" hat da sicher gern schonmal ein mittleres Magengeschwür.
Wie dem auch sei... nach dem Scan ist vor dem Scan... weiter gehts.
Etwas Gutes hat das Ganze: Es wird künftig wieder ein Stück einfacher, vernünftige Sicherheitslösungen angedeihen zu lassen
LG
- Pie