Jump to content

Exchange Security Fixes - 03/2021


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Richtig wie soll das auch gehen, ich wüsste nicht wie ich grob 50 leuten erklären soll, dass ihre Telefone, Tablets und Notebooks von unterwegs nicht mehr gehen.

 

Es bleibt zu hoffen, dass es das erstmal war!

 

 Ich habe Panda auf das höchste Level drr Prozess Überwachubg  eingestellt plus Firewall. Sollte ein Dienst etwas machen was er nicht schon seit Monaten macht, wird das aufgezeichnet und versucht sofort zu unterbinden.

 

Mehr kann ich nicht machen.

bearbeitet von siberia21
Link zu diesem Kommentar

Das bleibt natürlich jedem Admin selbst überlassen.

 

Aber: Du hast die Verantwortung von über 50 Leuten bzw. der Arbeitsplätze und hier handelt es sich ja wirklich nicht um eine Kleinigkeit. Ohne Benutzerdaten mal schnell die Kontrolle über einen Exchange inkl. ADS übernehmen, Dienst oder Programm im Hintergrund installieren der auf Knopfdruck eventl. alles verschlüsselt?

 

Ich weiß ja nicht, wie lange bei dir eine Rücksicherung von Daten/Exchange etc. dauert. Bei mir dauerts gut ne Woche bis alles wieder da ist. Das Risiko ist mir zu hoch und schlussendlich habe ich die Verantwortung, abgesehen von dem Stress den ich mir erst Recht nicht antun will. Wenn ich bei sowas nicht sofort handle und es passiert, dann darf ich mir erst Recht anhören warum ich ihn nicht vom Netz genommen habe, die Gefahr nicht erkannt habe etc. Da würde ich mir lieber das gejammere anhören, dass jemand von der Couch nicht seine Mails bearbeiten kann und an seinen Notebook per VPN ran muss. Ich meine: Ganze Bundesbehörden haben ihre Server vom Netz genommen.

 

Bei Kunde 1 (45 Personen) gabs ne Mail dass er vom Netz geht und kein Empfang von externen Geräten mehr möglich ist. Über eine Woche ist er jetzt vom Netz und keinen störts. Noch dazu in diesen Corona Zeiten, ist doch eh jeder eher daheim wenn er nirgendwo hingehen darf.

Beim zweiten (35) gabs von meinem "Special Kandidaten" natürlich nen Aufschrei und wann es wieder geht etc. Bin mit ihm gleich zum Chef, dann soll der das Entscheiden: Mal sehen... Im Worst-Case 35 Leute x 7 Tage komplett offline, Image Schaden beim Kunden, Aufträge können nicht eingehalten werden + meine Kosten zur Gesamtwiderherstellung + Nacharbeit. Fall war damit erledigt und ich raus aus der Verantwortung.

 

Wenn ich richtig gelesen habe, musste man beim Ausführen des Patches darauf achten ihn explizit "Als Administrator" auszuführen damit er sicher funktioniert? Die Info kam natürlich erst Tage später...

 

Hoffe natürlich auch, dass das ein einmaliger Leak war und nicht noch irgendwas gefunden und bereits ausgenutzt wird, wo noch keiner eine Ahnung hat.

Mal sehen ob es morgen wieder was neues gibt das mir hilft zu entscheiden ob ich sie wieder online stelle.

 

Schönen Rest-Sonntag & bleiben Sie und ihre Server gesund!

 

 

 


 

Link zu diesem Kommentar
vor 8 Stunden schrieb Dukel:

Wenn man Dienstleister ist, stimmt man das Thema mit dem Kunden ab. Dieser muss ja eine Risiko Analyse tätigen und eine Entscheidung fällen. Als Angestellter Admin, stimmt man das mit seinem Vorgesetzen ab.

Wir haben als Dienstleister auch schon mal einfach entschieden, dass wir patchen... Unsere Verträge sehen dass vor, und ich ziehe mir lieber den Unmut zu, dass Systeme mal schlechter Verfügbar sind, oder auch einfach während der Office Zeiten neustarten, als dem Kunden erklären zu müssen, du wurdest erfolgreich angegriffen, weil wir uns nicht abstimmen konnten.

 

Link zu diesem Kommentar

Allgemein oder wegen der aktuellen Lücken?

 

Ich zietiere einmal https://www.msxfaq.de/exchange/update/hafnium-exploit.htm#was_tun_bei_erkanntem_einbruch_

Quote

Stellen Sie sich vor, sie haben eine PowerShell auf einem Server mit "LocalSystem" und "ExchangeTrustedSubsystem" in einem fremden Netzwerk und sie haben kriminelle Energie. Was könnten sie alles anstellen? Ziemlich viel und auf ziemlich vielen Servern.

 

Eigentlich hat das Gesamtsystem als kompromittiert zu gelten. Es kann keine allgemein gültige Empfehlung geben, den Sie wissen ja nicht, wie tief der Angriff war und welche "Hinterlassenschaften" in ihrem System zu finden sind.

 

Link zu diesem Kommentar
vor 22 Minuten schrieb Dukel:

Allgemein oder wegen der aktuellen Lücken?

Wegen der aktuellen Situation.

Das Video auf der Seite kannte ich noch nicht. Ja klar, das ist ja schon eine Waffe, was da verwendet werden kann.

Ich hatte mich ja in den Foren auch schon umgesehen, was andere so machen. Das geht von der Reparatur und über das Neuaufsetzen vom Exchange. Manche vertrauen darauf, dass sie so firm sind, dass man wohl alles gefunden hat. Andere vertrauen auf die Tools die es dafür gibt. Und andere sagen sich, wer weiß, was da alles passiert ist, ich setzte den Exchange neu auf.

 

Aber ich habe noch nicht davon gelesen, dass einer die AD neu aufsetzt. Wie der Frank ja auch auf seiner Seite geschrieben hat. Es ist ein Restrisiko.

Ich habe auch noch nichts gelesen, dass einer definitiv Änderungen im AD gefunden hatte.

Link zu diesem Kommentar

Hi,

 

also ich kenne im weiteren Umfeld alles ...

  • Wir direkt haben wohl Schwein gehabt und waren anscheinend nicht betroffen ....
    • keine Firewall Logs zeigen auffälligkeiten
    • keine Veränderungen an den Systemen usw.
  • Zwei befreundete Admins haben nur in den Logs der Firewall etwas gefunen
    • Netscaler 2FA hat die Systeme gerettet
  • 1 bekannter erzählte, dass die Firma ihre komplette Landschaft dichtgemacht hat und jetzt gerade neu aufbaut
    • etwa 70 vServer usw. inkl. Sap,
    • Datenabfluss ist noch nicht geklärt

Ich glaube, das letzte wird man so lange es geht vermeiden und wenn im ersten Schritt auch nicht groß kommunizieren wollen.

 

Link zu diesem Kommentar

Moin,

 

vor 2 Stunden schrieb RalphT:

Ich habe auch noch nichts gelesen, dass einer definitiv Änderungen im AD gefunden hatte.

wenn ein Angreifer ansatzweise gut ist, dann wird er die wirklich interessanten Angriffe auch verbergen können. Man kann sich dauerhaft "Gott-Modus"-Adminrechte verschaffen, ohne ein einziges Objekt im AD zu verändern. Such mal nach dem Stichwort "Golden Ticket" im Zusammenhang mit AD.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...