Jump to content

Exchange Security Fixes - 03/2021


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

vor 13 Minuten schrieb siberia21:

war mir dann aber ehrlich gesagt auch egal.

Es ist NICHT deine Umgebung und deine Daten und die Verantwortung kann der Kunde auch nicht in dem Maße wegdelegieren. auch wenn viele das glauben (auf beiden Seiten). Und glaub mir, ich kenne sowohl solche Kunden und auch bei größeren Kunden gibts solche Kandidaten, bei denen man sich nur noch an den Kopf fassen will (sollte man nur nicht im Kundengespräch tun) :)

Link zu diesem Kommentar

Ja aber es ist wie eine wärmende Decke, wenn man weis man hat alles gemacht was nötig ist! Nur dafür muss man mich auch machen lassen.

 

Hier musste ich beim Kunden ordentlich Druck machen, überleg mal Exchange im RTM Zustand, gehts noch... da viel mir auch nichts mehr zu ein.

 

Aber es läuft doch... ja klar mein Auto läuft auch bis irgendwas abfällt... aber ich war vorher bei der Inspektion alle 15.000 Kilometer.

 

Das sollte beim Computern selbstverständlich sein. Ist es aber nicht... Was für ein Tara man hat wenn es um 20H z.b. geht. Der Kunde übrigens genau der Kunde hat auch 6 Monate gewartet bis ich endlich die Firma durch Patchen konnte. Ach ja und Windows 10 wurde 1 Tag nach Ablauf von Windows 7 überall aufgespielt und jetzt finde ich ein Notebook mit Windows 7... ich dachte ich spinne... 

bearbeitet von siberia21
Link zu diesem Kommentar

Ich würde definitiv mindestens mal noc das MSERT Tool drüber jagen und an den diversen Stellen nach Webshells suchen.

 

 

P.S.: Wäre evtl. nicht nur in Bayern hilfreich (Exchange Sicherheitslücken (bayern.de)):

Zitat

Was prüft nun das Bayerische Landesamt für Datenschutzaufsicht (BayLDA)?

Im Rahmen seiner Ad-hoc-Cybersicherheitsprüfung identifiziert das BayLDA anfällige Exchange Server in Bayern und kontaktiert anschließend deren Betreiber. Dabei werden stichprobenartig tausende Systeme hinsichtlich der beschriebenen Schwachstellen mittels eines Prüfskripts kontrolliert.

Hier noch die Pressemitteilung "dazu": BayLDA Pressemitteilung zu Microsoft Exchange Sicherheitslücken (bayern.de)

 

Gleich gibt es noch einen Livestream mit dem BSI zum "Exchange Hack": Livestream zum Exchange-Hack: BSI beantwortet Fragen ab 15:30 Uhr | heise online

bearbeitet von testperson
Link zu diesem Kommentar
vor 18 Stunden schrieb Dutch_OnE:

Moin, das Test-Proxy Powershell Script hat am 5.3 und 6.3 Aktivitäten gefunden. Am 7.3 habe ich den Patch installiert. Nun scheint Ruhe zu sein. Reicht es alle Updates zu machen, oder sollte man hier noch andere Schritte ausführen?

Hi,

 

hast du denn nur "Versuche" gefunden, oder danach wirklich dann gesucht, ob etwas ungewöhnliches los ist?

Wir haben alle Kunden direkt am Mittwoch gepatcht und sind seit dem jeden Tag dabei, zu schauen ob nicht doch irgendwo etwas ist, was wir im ersten Moment nicht gesehen haben....  Bisher scheint es so, dass wir schnell genug gewesen sind.

Ein Vorteil, alles Outsourcing, unsere Betriebsverantwortung und wir haben entschieden und nicht mehr groß gefragt.

 

Allerdings will ich mir gar nicht vorstellen, was wir tun würden, wenn wir wirklich annehmen müssten, der Exchange Server sei betroffen, ich glaube dann würde ich direkt den kompletten Neuaufbau empfehlen, denn sicher sein könnte man sich nicht mehr, dass nicht doch irgendwas / irgendwo schlummert.

 

Gruß

J

BSI Stream zu dem Thema

 

Link zu diesem Kommentar

Ich habe vorgestern alles dicht gemacht, soweit möglich durch den Patch!

 

Das einspielen von CU23 und dem Patch verlief unproblematisch, auch wenn ich die VM  mit ihren 360 GB immer vorher gesichert habe! Das ist zum Glück recht einfach und bei der Performance des Servers eine Sache von Minuten. 

 

Gestern ging ich dann mit dem TestScript durch: Das Ergebnis war zum Glück... Null das einzige was in einem Exchange aktiv ist, ist Panda Adaptiv Defenz und das ist so gewollt. 

 

Ich überlege noch ob ich bei Panda die Thread Protection aktiviere was natürlich mit einem Performance Verlust einher geht, weil alle Prozesse auf ungewöhnliche Aktivitäten für sie überwacht werden. Auf meinen Terminal und FileServern als auch allen Arbeitsplätzen nutze ich das schon seit Jahren!

 

Hat schon das eine oder andere Sinnvoll verhindert - Allerdings ist man gegen dumheit nicht gewappnet:

 

Leider ist das hier wie man bei Heise gestern gut nachlesen konnte im Grunde eine Frechheit!

 

https://www.heise.de/news/Der-Hafnium-Exchange-Server-Hack-Anatomie-einer-Katastrophe-5077269.html

 

 

 

 

 

 

 

Link zu diesem Kommentar

Guten Tag,

das Prüfskript scheint nicht alle regulär vorhandenen Verzeichnisse zu kennen. Wenn der Exchange schon etwas älter ist, sammeln sich ja da die verschiedenen Verzeichnisse mit den Versionsnummern. Ihr kennt das, es wird immer mal wieder diskutiert ob das gelöscht werden kann. Das Prüfskript scheint nur die CUs zu kennen. Aber kleinere Updates zwischendrin bringen da manchmal auch andere Versionen mit. Das wird dann als "One or more potentially malicious files found" gemeldet und kann bei MS hochgeladen werden. Das sind z. B. die Verzeichnisse 15.1.1261.36, 15.1.1261.39, 15.1.1713.1, 15.1.1713.6, 15.1.1713.7, 15.1.1713.8. Nur als Info. Falls jemand andere Informationen / andere Einschätzung hat, bitte hier notieren. Der Upload der Ergebnisdatei hat ebenfalls "no malware detected" angezeigt.

 

Grüße

 

 

Link zu diesem Kommentar

Ja, zu Anfangs hat es gar nicht funktioniert. Es wurde aber fast im 2-Stunden Abstand aktualisiert. Jetzt läuft es ohne Fehler, findet aber jede Menge Dateien, von denen ich sicher weiß, dass diese schon seit Jahren da sind. Ich habe nämlich schon zig mal darüber nachgedacht diese zu löschen und dann doch nicht gelöscht.

Ich habe nun auch alle Dokumente von Microsoft mehrfach durchgesehen. ActiveSync ist nicht genannt. Das BSI nennt aber auch ActiveSync. Wenn ich die Lücken richtig verstanden habe, müsste mindestens CVE-2021-26855 auch bei ActiveSync möglich sein. Bei den anderen finde ich keine genaueren Informationen.

 

Derzeit sieht es für mich so aus, als ob das Anklopfen per Autodiscover stattgefunden hat. War das nicht veröffentlicht, ist der Angreifer wohl weitergezogen. Sicher ist das aber nicht. Weiß da jemand mehr?

Link zu diesem Kommentar
vor 4 Stunden schrieb wznutzer:

Guten Tag,

das Prüfskript scheint nicht alle regulär vorhandenen Verzeichnisse zu kennen. Wenn der Exchange schon etwas älter ist, sammeln sich ja da die verschiedenen Verzeichnisse mit den Versionsnummern. Ihr kennt das, es wird immer mal wieder diskutiert ob das gelöscht werden kann. Das Prüfskript scheint nur die CUs zu kennen. Aber kleinere Updates zwischendrin bringen da manchmal auch andere Versionen mit. Das wird dann als "One or more potentially malicious files found" gemeldet und kann bei MS hochgeladen werden. Das sind z. B. die Verzeichnisse 15.1.1261.36, 15.1.1261.39, 15.1.1713.1, 15.1.1713.6, 15.1.1713.7, 15.1.1713.8. Nur als Info. Falls jemand andere Informationen / andere Einschätzung hat, bitte hier notieren. Der Upload der Ergebnisdatei hat ebenfalls "no malware detected" angezeigt.

 

Grüße

 

 

Einfach noch einmal die neueste Version des Scriptes nutzen?

MS ist immer noch dabei und prüft alle Versionen.

 

Bei uns hat er auch die web.config angemeckert und wie sich herausstellt, zu recht :-) Wir haben da Änderungen vorgenommen, wie in unserem Change Log nachzulesen ist, dieses muss man berücksichtigen. Microsoft kann nicht wissen, ob ihr darin Einstellungen verändert habt.

  • 15.1.1211.39 ist jetzt da
  • 15.1.1713.7 & 8 auch

Wenn ihr die Checkergebnisse also Microsoft zur Verfügung stellt, dann schauen Sie auch die Versionen an und bringen weitere Baselines, die letzten Updates sind vor 60min bereitgestellt worden.

Link zu diesem Kommentar

Rüdiger Trost (F-Secure) warum Deutschland besonders betroffen ist:

"Deutsche Unternehmen fürchten die Cloud und betreiben Dienste wie Exchange daher häufig lokal."
Gute Werbund für Microsoft´s Cloud und wir sind selber Schuld dass wir nicht auch dort hosten.

 

Habt ihr eure Exchange schon wieder ins Internet gehängt? Streub mich ehrlich gesagt noch ein wenig, sie wieder erreichbar zu machen.

 

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...