Jump to content

Exchange Security Fixes - 03/2021


Recommended Posts

vor 13 Minuten schrieb siberia21:

war mir dann aber ehrlich gesagt auch egal.

Es ist NICHT deine Umgebung und deine Daten und die Verantwortung kann der Kunde auch nicht in dem Maße wegdelegieren. auch wenn viele das glauben (auf beiden Seiten). Und glaub mir, ich kenne sowohl solche Kunden und auch bei größeren Kunden gibts solche Kandidaten, bei denen man sich nur noch an den Kopf fassen will (sollte man nur nicht im Kundengespräch tun) :)

Link to post

Ja aber es ist wie eine wärmende Decke, wenn man weis man hat alles gemacht was nötig ist! Nur dafür muss man mich auch machen lassen.

 

Hier musste ich beim Kunden ordentlich Druck machen, überleg mal Exchange im RTM Zustand, gehts noch... da viel mir auch nichts mehr zu ein.

 

Aber es läuft doch... ja klar mein Auto läuft auch bis irgendwas abfällt... aber ich war vorher bei der Inspektion alle 15.000 Kilometer.

 

Das sollte beim Computern selbstverständlich sein. Ist es aber nicht... Was für ein Tara man hat wenn es um 20H z.b. geht. Der Kunde übrigens genau der Kunde hat auch 6 Monate gewartet bis ich endlich die Firma durch Patchen konnte. Ach ja und Windows 10 wurde 1 Tag nach Ablauf von Windows 7 überall aufgespielt und jetzt finde ich ein Notebook mit Windows 7... ich dachte ich spinne... 

Edited by siberia21
Link to post

Wir machen das alles schriftlich und lassen und auch Dinge abzeichnen. Mehr als auf Dringlichkeit hinweisen können wir nicht. 

vor 39 Minuten schrieb siberia21:

und jetzt finde ich ein Notebook mit Windows 7... ich dachte ich spinne... 

Das ist doch brandneu. Da kenne ich Kunden mit viel älteren Maschinen. 

Link to post

Moin, das Test-Proxy Powershell Script hat am 5.3 und 6.3 Aktivitäten gefunden. Am 7.3 habe ich den Patch installiert. Nun scheint Ruhe zu sein. Reicht es alle Updates zu machen, oder sollte man hier noch andere Schritte ausführen?

Link to post

Ich würde definitiv mindestens mal noc das MSERT Tool drüber jagen und an den diversen Stellen nach Webshells suchen.

 

 

P.S.: Wäre evtl. nicht nur in Bayern hilfreich (Exchange Sicherheitslücken (bayern.de)):

Zitat

Was prüft nun das Bayerische Landesamt für Datenschutzaufsicht (BayLDA)?

Im Rahmen seiner Ad-hoc-Cybersicherheitsprüfung identifiziert das BayLDA anfällige Exchange Server in Bayern und kontaktiert anschließend deren Betreiber. Dabei werden stichprobenartig tausende Systeme hinsichtlich der beschriebenen Schwachstellen mittels eines Prüfskripts kontrolliert.

Hier noch die Pressemitteilung "dazu": BayLDA Pressemitteilung zu Microsoft Exchange Sicherheitslücken (bayern.de)

 

Gleich gibt es noch einen Livestream mit dem BSI zum "Exchange Hack": Livestream zum Exchange-Hack: BSI beantwortet Fragen ab 15:30 Uhr | heise online

Edited by testperson
  • Thanks 2
Link to post
vor 18 Stunden schrieb Dutch_OnE:

Moin, das Test-Proxy Powershell Script hat am 5.3 und 6.3 Aktivitäten gefunden. Am 7.3 habe ich den Patch installiert. Nun scheint Ruhe zu sein. Reicht es alle Updates zu machen, oder sollte man hier noch andere Schritte ausführen?

Hi,

 

hast du denn nur "Versuche" gefunden, oder danach wirklich dann gesucht, ob etwas ungewöhnliches los ist?

Wir haben alle Kunden direkt am Mittwoch gepatcht und sind seit dem jeden Tag dabei, zu schauen ob nicht doch irgendwo etwas ist, was wir im ersten Moment nicht gesehen haben....  Bisher scheint es so, dass wir schnell genug gewesen sind.

Ein Vorteil, alles Outsourcing, unsere Betriebsverantwortung und wir haben entschieden und nicht mehr groß gefragt.

 

Allerdings will ich mir gar nicht vorstellen, was wir tun würden, wenn wir wirklich annehmen müssten, der Exchange Server sei betroffen, ich glaube dann würde ich direkt den kompletten Neuaufbau empfehlen, denn sicher sein könnte man sich nicht mehr, dass nicht doch irgendwas / irgendwo schlummert.

 

Gruß

J

BSI Stream zu dem Thema

 

Link to post

Ich habe vorgestern alles dicht gemacht, soweit möglich durch den Patch!

 

Das einspielen von CU23 und dem Patch verlief unproblematisch, auch wenn ich die VM  mit ihren 360 GB immer vorher gesichert habe! Das ist zum Glück recht einfach und bei der Performance des Servers eine Sache von Minuten. 

 

Gestern ging ich dann mit dem TestScript durch: Das Ergebnis war zum Glück... Null das einzige was in einem Exchange aktiv ist, ist Panda Adaptiv Defenz und das ist so gewollt. 

 

Ich überlege noch ob ich bei Panda die Thread Protection aktiviere was natürlich mit einem Performance Verlust einher geht, weil alle Prozesse auf ungewöhnliche Aktivitäten für sie überwacht werden. Auf meinen Terminal und FileServern als auch allen Arbeitsplätzen nutze ich das schon seit Jahren!

 

Hat schon das eine oder andere Sinnvoll verhindert - Allerdings ist man gegen dumheit nicht gewappnet:

 

Leider ist das hier wie man bei Heise gestern gut nachlesen konnte im Grunde eine Frechheit!

 

https://www.heise.de/news/Der-Hafnium-Exchange-Server-Hack-Anatomie-einer-Katastrophe-5077269.html

 

 

 

 

 

 

 

Link to post

Guten Tag,

das Prüfskript scheint nicht alle regulär vorhandenen Verzeichnisse zu kennen. Wenn der Exchange schon etwas älter ist, sammeln sich ja da die verschiedenen Verzeichnisse mit den Versionsnummern. Ihr kennt das, es wird immer mal wieder diskutiert ob das gelöscht werden kann. Das Prüfskript scheint nur die CUs zu kennen. Aber kleinere Updates zwischendrin bringen da manchmal auch andere Versionen mit. Das wird dann als "One or more potentially malicious files found" gemeldet und kann bei MS hochgeladen werden. Das sind z. B. die Verzeichnisse 15.1.1261.36, 15.1.1261.39, 15.1.1713.1, 15.1.1713.6, 15.1.1713.7, 15.1.1713.8. Nur als Info. Falls jemand andere Informationen / andere Einschätzung hat, bitte hier notieren. Der Upload der Ergebnisdatei hat ebenfalls "no malware detected" angezeigt.

 

Grüße

 

 

Link to post

Du sprichst vom Compare Hashes Powershell Script?

Das hat bei uns auch ein seltsames Verhalten gezeigt. Es hat die web.config aus dem wwwroot des iis als verdächtig markiert.

Wir haben das File geprüft, hatten das vorher auch schon geprüft und keine Veränderungen festgestellt.

 

Link to post

Ja, zu Anfangs hat es gar nicht funktioniert. Es wurde aber fast im 2-Stunden Abstand aktualisiert. Jetzt läuft es ohne Fehler, findet aber jede Menge Dateien, von denen ich sicher weiß, dass diese schon seit Jahren da sind. Ich habe nämlich schon zig mal darüber nachgedacht diese zu löschen und dann doch nicht gelöscht.

Ich habe nun auch alle Dokumente von Microsoft mehrfach durchgesehen. ActiveSync ist nicht genannt. Das BSI nennt aber auch ActiveSync. Wenn ich die Lücken richtig verstanden habe, müsste mindestens CVE-2021-26855 auch bei ActiveSync möglich sein. Bei den anderen finde ich keine genaueren Informationen.

 

Derzeit sieht es für mich so aus, als ob das Anklopfen per Autodiscover stattgefunden hat. War das nicht veröffentlicht, ist der Angreifer wohl weitergezogen. Sicher ist das aber nicht. Weiß da jemand mehr?

Link to post
vor 4 Stunden schrieb wznutzer:

Guten Tag,

das Prüfskript scheint nicht alle regulär vorhandenen Verzeichnisse zu kennen. Wenn der Exchange schon etwas älter ist, sammeln sich ja da die verschiedenen Verzeichnisse mit den Versionsnummern. Ihr kennt das, es wird immer mal wieder diskutiert ob das gelöscht werden kann. Das Prüfskript scheint nur die CUs zu kennen. Aber kleinere Updates zwischendrin bringen da manchmal auch andere Versionen mit. Das wird dann als "One or more potentially malicious files found" gemeldet und kann bei MS hochgeladen werden. Das sind z. B. die Verzeichnisse 15.1.1261.36, 15.1.1261.39, 15.1.1713.1, 15.1.1713.6, 15.1.1713.7, 15.1.1713.8. Nur als Info. Falls jemand andere Informationen / andere Einschätzung hat, bitte hier notieren. Der Upload der Ergebnisdatei hat ebenfalls "no malware detected" angezeigt.

 

Grüße

 

 

Einfach noch einmal die neueste Version des Scriptes nutzen?

MS ist immer noch dabei und prüft alle Versionen.

 

Bei uns hat er auch die web.config angemeckert und wie sich herausstellt, zu recht :-) Wir haben da Änderungen vorgenommen, wie in unserem Change Log nachzulesen ist, dieses muss man berücksichtigen. Microsoft kann nicht wissen, ob ihr darin Einstellungen verändert habt.

  • 15.1.1211.39 ist jetzt da
  • 15.1.1713.7 & 8 auch

Wenn ihr die Checkergebnisse also Microsoft zur Verfügung stellt, dann schauen Sie auch die Versionen an und bringen weitere Baselines, die letzten Updates sind vor 60min bereitgestellt worden.

Link to post

Rüdiger Trost (F-Secure) warum Deutschland besonders betroffen ist:

"Deutsche Unternehmen fürchten die Cloud und betreiben Dienste wie Exchange daher häufig lokal."
Gute Werbund für Microsoft´s Cloud und wir sind selber Schuld dass wir nicht auch dort hosten.

 

Habt ihr eure Exchange schon wieder ins Internet gehängt? Streub mich ehrlich gesagt noch ein wenig, sie wieder erreichbar zu machen.

 

 

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...