Jump to content

Exchange Security Fixes - 03/2021


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Richtig wie soll das auch gehen, ich wüsste nicht wie ich grob 50 leuten erklären soll, dass ihre Telefone, Tablets und Notebooks von unterwegs nicht mehr gehen.

 

Es bleibt zu hoffen, dass es das erstmal war!

 

 Ich habe Panda auf das höchste Level drr Prozess Überwachubg  eingestellt plus Firewall. Sollte ein Dienst etwas machen was er nicht schon seit Monaten macht, wird das aufgezeichnet und versucht sofort zu unterbinden.

 

Mehr kann ich nicht machen.

Edited by siberia21
Link to post

Das bleibt natürlich jedem Admin selbst überlassen.

 

Aber: Du hast die Verantwortung von über 50 Leuten bzw. der Arbeitsplätze und hier handelt es sich ja wirklich nicht um eine Kleinigkeit. Ohne Benutzerdaten mal schnell die Kontrolle über einen Exchange inkl. ADS übernehmen, Dienst oder Programm im Hintergrund installieren der auf Knopfdruck eventl. alles verschlüsselt?

 

Ich weiß ja nicht, wie lange bei dir eine Rücksicherung von Daten/Exchange etc. dauert. Bei mir dauerts gut ne Woche bis alles wieder da ist. Das Risiko ist mir zu hoch und schlussendlich habe ich die Verantwortung, abgesehen von dem Stress den ich mir erst Recht nicht antun will. Wenn ich bei sowas nicht sofort handle und es passiert, dann darf ich mir erst Recht anhören warum ich ihn nicht vom Netz genommen habe, die Gefahr nicht erkannt habe etc. Da würde ich mir lieber das gejammere anhören, dass jemand von der Couch nicht seine Mails bearbeiten kann und an seinen Notebook per VPN ran muss. Ich meine: Ganze Bundesbehörden haben ihre Server vom Netz genommen.

 

Bei Kunde 1 (45 Personen) gabs ne Mail dass er vom Netz geht und kein Empfang von externen Geräten mehr möglich ist. Über eine Woche ist er jetzt vom Netz und keinen störts. Noch dazu in diesen Corona Zeiten, ist doch eh jeder eher daheim wenn er nirgendwo hingehen darf.

Beim zweiten (35) gabs von meinem "Special Kandidaten" natürlich nen Aufschrei und wann es wieder geht etc. Bin mit ihm gleich zum Chef, dann soll der das Entscheiden: Mal sehen... Im Worst-Case 35 Leute x 7 Tage komplett offline, Image Schaden beim Kunden, Aufträge können nicht eingehalten werden + meine Kosten zur Gesamtwiderherstellung + Nacharbeit. Fall war damit erledigt und ich raus aus der Verantwortung.

 

Wenn ich richtig gelesen habe, musste man beim Ausführen des Patches darauf achten ihn explizit "Als Administrator" auszuführen damit er sicher funktioniert? Die Info kam natürlich erst Tage später...

 

Hoffe natürlich auch, dass das ein einmaliger Leak war und nicht noch irgendwas gefunden und bereits ausgenutzt wird, wo noch keiner eine Ahnung hat.

Mal sehen ob es morgen wieder was neues gibt das mir hilft zu entscheiden ob ich sie wieder online stelle.

 

Schönen Rest-Sonntag & bleiben Sie und ihre Server gesund!

 

 

 


 

  • Like 1
Link to post
vor 43 Minuten schrieb Thomas Maggnussen:

Die Info kam natürlich erst Tage später...

Die Info steht seit JAHREN bei jedem Security Patch von Exchange dabei. Man müßte die entsprechenden Artikel halt auch mal lesen. ;)

Link to post

Es ist nun genug mit den persönlichen Befindlichkeiten.

 

Wer etwas zur Diskussion beitragen kann, so dass alle etwas davon haben: Gerne.

 

Alles andere bitte ich jetzt wegzulassen.

 

Back on topic

 

Danke Euch

  • Thanks 1
Link to post

Vielleicht abschließend zu dem Thema. Man trägt die Verantwortung ja nicht selbst, wenn man nicht der GF ist.

Wenn man Dienstleister ist, stimmt man das Thema mit dem Kunden ab. Dieser muss ja eine Risiko Analyse tätigen und eine Entscheidung fällen. Als Angestellter Admin, stimmt man das mit seinem Vorgesetzen ab.

Link to post
vor 8 Stunden schrieb Dukel:

Wenn man Dienstleister ist, stimmt man das Thema mit dem Kunden ab. Dieser muss ja eine Risiko Analyse tätigen und eine Entscheidung fällen. Als Angestellter Admin, stimmt man das mit seinem Vorgesetzen ab.

Wir haben als Dienstleister auch schon mal einfach entschieden, dass wir patchen... Unsere Verträge sehen dass vor, und ich ziehe mir lieber den Unmut zu, dass Systeme mal schlechter Verfügbar sind, oder auch einfach während der Office Zeiten neustarten, als dem Kunden erklären zu müssen, du wurdest erfolgreich angegriffen, weil wir uns nicht abstimmen konnten.

 

Link to post

Allgemein oder wegen der aktuellen Lücken?

 

Ich zietiere einmal https://www.msxfaq.de/exchange/update/hafnium-exploit.htm#was_tun_bei_erkanntem_einbruch_

Quote

Stellen Sie sich vor, sie haben eine PowerShell auf einem Server mit "LocalSystem" und "ExchangeTrustedSubsystem" in einem fremden Netzwerk und sie haben kriminelle Energie. Was könnten sie alles anstellen? Ziemlich viel und auf ziemlich vielen Servern.

 

Eigentlich hat das Gesamtsystem als kompromittiert zu gelten. Es kann keine allgemein gültige Empfehlung geben, den Sie wissen ja nicht, wie tief der Angriff war und welche "Hinterlassenschaften" in ihrem System zu finden sind.

 

Link to post
vor 22 Minuten schrieb Dukel:

Allgemein oder wegen der aktuellen Lücken?

Wegen der aktuellen Situation.

Das Video auf der Seite kannte ich noch nicht. Ja klar, das ist ja schon eine Waffe, was da verwendet werden kann.

Ich hatte mich ja in den Foren auch schon umgesehen, was andere so machen. Das geht von der Reparatur und über das Neuaufsetzen vom Exchange. Manche vertrauen darauf, dass sie so firm sind, dass man wohl alles gefunden hat. Andere vertrauen auf die Tools die es dafür gibt. Und andere sagen sich, wer weiß, was da alles passiert ist, ich setzte den Exchange neu auf.

 

Aber ich habe noch nicht davon gelesen, dass einer die AD neu aufsetzt. Wie der Frank ja auch auf seiner Seite geschrieben hat. Es ist ein Restrisiko.

Ich habe auch noch nichts gelesen, dass einer definitiv Änderungen im AD gefunden hatte.

Link to post

Hi,

 

also ich kenne im weiteren Umfeld alles ...

  • Wir direkt haben wohl Schwein gehabt und waren anscheinend nicht betroffen ....
    • keine Firewall Logs zeigen auffälligkeiten
    • keine Veränderungen an den Systemen usw.
  • Zwei befreundete Admins haben nur in den Logs der Firewall etwas gefunen
    • Netscaler 2FA hat die Systeme gerettet
  • 1 bekannter erzählte, dass die Firma ihre komplette Landschaft dichtgemacht hat und jetzt gerade neu aufbaut
    • etwa 70 vServer usw. inkl. Sap,
    • Datenabfluss ist noch nicht geklärt

Ich glaube, das letzte wird man so lange es geht vermeiden und wenn im ersten Schritt auch nicht groß kommunizieren wollen.

 

Link to post

Moin,

 

vor 2 Stunden schrieb RalphT:

Ich habe auch noch nichts gelesen, dass einer definitiv Änderungen im AD gefunden hatte.

wenn ein Angreifer ansatzweise gut ist, dann wird er die wirklich interessanten Angriffe auch verbergen können. Man kann sich dauerhaft "Gott-Modus"-Adminrechte verschaffen, ohne ein einziges Objekt im AD zu verändern. Such mal nach dem Stichwort "Golden Ticket" im Zusammenhang mit AD.

 

Gruß, Nils

 

  • Like 1
Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...