Jump to content

Exchange Security Fixes - 03/2021


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Der Inhalt (HAFNIUM targeting Exchange Servers with 0-day exploits - Microsoft Security) wurde ergänzt:

Zitat

Update [03/04/2020]: The Exchange Server team released a script for checking HAFNIUM indicators of compromise (IOCs). See Scan Exchange log files for indicators of compromise.

Hier findet sich das PowerShell Script zum Testen: CSS-Exchange/Security at main · microsoft/CSS-Exchange · GitHub

 

Habe es grade mal auf knapp zehn Systemen getestet und auf einem System gibt es den Ordner "%exchangeinstallpath%\OABGeneratorLog" nicht. Ist das jetzt verdächtig oder durchaus normal?

Edited by testperson
  • Like 1
  • Thanks 1
Link to post

Hallo zusammen,

 

habe das PowerShell Script auch auf einem Server laufen lassen. Beim Punkt: CVE-2021-26855 findet er einen Eintrag. Im abgelegten Log File findet sich folgender Eintrag:

"2021-03-03T07:39:36.752Z","ServerInfo~a]@exchange.contoso.intern:444/autodiscover/autodiscover.xml?#"

Haben dann im Ordner: C:\Program Files\Microsoft\Exchange Server\V15\Logging\Autodiscover eine Log Datei gefunden die den richtigen Zeitstempel hat.

Im Eintrag stand der der Benutzer administrator@contoso.intern nicht gefunden wurde.

 

Muss ich mir sorgen machen oder ist das unbedenklich?

 

Grüße

Edited by EDV11
Link to post

Microsoft schreibt auch:
 

"These vulnerabilities are used as part of an attack chain. The initial attack requires the ability to make an untrusted connection to Exchange server port 443. This can be protected against by restricting untrusted connections, or by setting up a VPN to separate the Exchange server from external access."

 

Wenn auf dem Exchange Server ein echtes SSL Zertifikat drauf ist (also keine Warnung kommt wenn man ihn mit https aufruft) dann funktioniert das doch eh nicht oder seh ich da was falsch?

Link to post

Hallo, 

ESET Mail Security hat aus ein paar Einträge gefunden, kurioserweise findet das proxy login testscript auch im solarwind ordner einige einträge (aber kategorie "other")

Edited by Dirk-HH-83
Link to post

Der Microsoft Security Scanner (MSERT.EXE) kann die bekannten Muster jetzt auffinden (Microsoft Exchange Server Vulnerabilities Mitigations – updated March 6, 2021 – Microsoft Security Response Center)

Zitat

Microsoft Support Emergency Response Tool (MSERT) to scan Microsoft Exchange Server

 

Microsoft Defender has included security intelligence updates to the latest version of the Microsoft Safety Scanner (MSERT.EXE) to detect and remediate the latest threats known to abuse the Exchange Server vulnerabilities disclosed on March 2, 2021. Administrators can use this tool for servers not protected by Microsoft Defender for Endpoint or where exclusions are configured for the recommended folders below.

To use the Microsoft Support Emergency Response Tool (MSERT) to scan the Microsoft Exchange Server locations for known indicators from adversaries:

  1. Download MSERT from Microsoft Safety Scanner Download – Windows securityNote: In case you need to troubleshoot it, see How to troubleshoot an error when you run the Microsoft Safety Scanner.
  2. Read and accept the End user license agreement, then click Next.
  3. Read the Microsoft Safety Scanner Privacy Statement, then click Next.
  4. Select whether you want to do full scan, or customized scan.
  • Full scan – The most effective way to thoroughly scan every file on the device. It is the most effective option although it might take a long time to complete depending on the directory size of your server.
  • Customized scan – This can be configured to scan the following file paths where malicious files from the threat actor have been observed:
  • %IIS installation path%\aspnet_client\*
  • %IIS installation path%\aspnet_client\system_web\*
  • %Exchange Server installation path%\FrontEnd\HttpProxy\owa\auth\*
  • Configured temporary ASP.NET files path
  • %Exchange Server Installation%\FrontEnd\HttpProxy\ecp\auth\*

These remediation steps are effective against known attack patterns but are not guaranteed as complete mitigation for all possible exploitation of these vulnerabilities.  Microsoft Defender will continue to monitor and provide the latest security updates.

 

 

  • Thanks 1
Link to post

Sollte man eigentlich das BackendCookieMitigation.ps1 laufen und installieren lassen, wenn der Patch darauf ist und er Exchange auch nicht kompromittiert wurde? Hat das irgendwelche negativen Auswirkungen

Link to post
vor 46 Minuten schrieb Squire:

Sollte man eigentlich das BackendCookieMitigation.ps1 laufen und installieren lassen, wenn der Patch darauf ist und er Exchange auch nicht kompromittiert wurde? Hat das irgendwelche negativen Auswirkungen

Wenn ich die Artikel richtig lese, dann ist das nicht notwendig, wenn die patches installiert sind.

negative Effekte dürfte das nicht haben. 

Link to post
Am 5.3.2021 um 19:24 schrieb EDV11:

habe das PowerShell Script auch auf einem Server laufen lassen. Beim Punkt: CVE-2021-26855 findet er einen Eintrag. Im abgelegten Log File findet sich folgender Eintrag:

"2021-03-03T07:39:36.752Z","ServerInfo~a]@exchange.contoso.intern:444/autodiscover/autodiscover.xml?#"

Haben dann im Ordner: C:\Program Files\Microsoft\Exchange Server\V15\Logging\Autodiscover eine Log Datei gefunden die den richtigen Zeitstempel hat.

Im Eintrag stand der der Benutzer administrator@contoso.intern nicht gefunden wurde.

 

Muss ich mir sorgen machen oder ist das unbedenklich?

 

Im Exchange Blog schreibt "Microsoft" in den Kommentaren dazu (https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/bc-p/2188076/highlight/true#M29753):

Zitat

If you have ran the HAFNIUM detection commands or a script (we suggest the script to help get you a more comprehensive view of IOCs) and have seen entries similar to the following:

 

"DATETIME","ServerInfo~a]@SERVERNAME.company.com:444/autodiscover/autodiscover.xml?#"

 

This is an indication of ‘probing’ the server for this vulnerability, not an indication of actual compromise; you will have to correlate this with activities from other server logs and look for evidence of files that might have been left on the server to confirm if the server has actually been compromised. The above by itself does not indicate compromise has happened but it does indicate that someone was looking to.

 

  • Like 1
Link to post
vor 5 Minuten schrieb EDV11:

@testperson

Danke für die Info hatte ich noch nicht gelesen.

 

Aktuell sieht auch alles gut aus nochmal Glück gehabt!

 

Ich würde definitiv die hier genannten Pfade auf verdächtigen Inhalt prüfen (HAFNIUM targeting Exchange Servers with 0-day exploits - Microsoft Security):

Zitat

Host IOCs

 

Hashes

Web shell hashes

  • b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0
  • 097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e
  • 2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1
  • 65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5
  • 511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1
  • 4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea
  • 811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
  • 1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944

Paths

We observed web shells in the following paths:

  • C:\inetpub\wwwroot\aspnet_client\
  • C:\inetpub\wwwroot\aspnet_client\system_web\
  • In Microsoft Exchange Server installation paths such as:
    • %PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
    • C:\Exchange\FrontEnd\HttpProxy\owa\auth\

The web shells we detected had the following file names:

  • web.aspx
  • help.aspx
  • document.aspx
  • errorEE.aspx
  • errorEEE.aspx
  • errorEW.aspx
  • errorFF.aspx
  • healthcheck.aspx
  • aspnet_www.aspx
  • aspnet_client.aspx
  • xx.aspx
  • shell.aspx
  • aspnet_iisstart.aspx
  • one.aspx

Check for suspicious .zip, .rar, and .7z files in C:\ProgramData\, which may indicate possible data exfiltration.

Customers should monitor these paths for LSASS dumps:

  • C:\windows\temp\
  • C:\root\

 

Bzw. eben den Microsoft Safety Scanner dafür nutzen: Microsoft Safety Scanner Download - Windows security | Microsoft Docs

Link to post

Microsoft stellt jetzt für ältere / unsupportete CUs auch einen entsprechenden Fix bereit: March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server - Microsoft Tech Community

 

Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: March 2, 2021 (KB5000871):

Zitat

Version Updated on 3/8/21 PST

  •  Download Security Update For Exchange Server 2016 Cumulative Update 14 (KB5000871)
  •  Download Security Update For Exchange Server 2016 Cumulative Update 15 (KB5000871)
  •  Download Security Update For Exchange Server 2016 Cumulative Update 16 (KB5000871)
  •  Download Security Update For Exchange Server 2019 Cumulative Update 4 (KB5000871)
  •  Download Security Update For Exchange Server 2019 Cumulative Update 5 (KB5000871)
  •  Download Security Update For Exchange Server 2019 Cumulative Update 6 (KB5000871)

 

Auf GitHub (CSS-Exchange/Security at main · microsoft/CSS-Exchange · GitHub) gibt es noch ein weiteres Script (CompareExchangeHashes.ps1), um die Installation auf infizierte Dateien zu durchsuchen.

 

Edited by testperson
  • Thanks 1
Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...