Hacker Angriff aus China

bingo61
Goto Top
Servus,

bei wem ist denn der Angriff auf die Exchange gelaufen?
Wie habt ihr denn das ganze nun verbessert?
Uns hat es voll Erwischt, da Soziale Einrichtung mit 50 Einrichtungen.
Daten wurden abgegriffen.
Müssen ( werden) alle Exchange neu installieren, Proxy noch verschärfen.
Und der OWA ( Einfallstor) ist mal vorerst aus.
Und sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.

Content-Key: 664893

Url: https://administrator.de/contentid/664893

Ausgedruckt am: 13.08.2022 um 04:08 Uhr

Mitglied: tech-flare
tech-flare 19.03.2021 um 12:15:41 Uhr
Goto Top
Hallo,

Letztendlich kannst du es nur mit einem gepatchten Exchange Server beheben.

Das heißt immer das aktuellste CU installiert haben und Sicherheitsupdates zügig einspielen.

Wart ihr zu langsam? Habt ihr die Updates überhaupt installiert? Auf welcher CU lief der Exchange?
Mitglied: wellknown
wellknown 19.03.2021 um 12:28:31 Uhr
Goto Top
Na ja, man kann auch VPN benutzen. Nicht so komfortabel aber sicherer. Zumindestens waren wir nicht betroffen.
Mitglied: Vision2015
Vision2015 19.03.2021 um 12:43:00 Uhr
Goto Top
moin...
Zitat von @Bingo61:

Servus,

bei wem ist denn der Angriff auf die Exchange gelaufen?
bei ca. 80-100 Kunden
Wie habt ihr denn das ganze nun verbessert?
na das was zu tun ist!
Uns hat es voll Erwischt, da Soziale Einrichtung mit 50 Einrichtungen.
Daten wurden abgegriffen.
jo... melden.... blöde frage, wie hast du das festgestellt?
Müssen ( werden) alle Exchange neu installieren, Proxy noch verschärfen.
wie... die laufen noch?
Und der OWA ( Einfallstor) ist mal vorerst aus.
gut
Und sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.
ja... und was ist die frage, bzw. was können wir für dich tun?

Frank
Mitglied: NordicMike
NordicMike 19.03.2021 um 12:55:03 Uhr
Goto Top
Wie wurde es bemerkt?
Mitglied: Vision2015
Vision2015 19.03.2021 um 13:02:11 Uhr
Goto Top
Moin...
Zitat von @NordicMike:

Wie wurde es bemerkt?

der chinesische hacker hat ein postit auf dem desktop hinterlassen, mit den namen der übertragenen dateien!

Frank
Mitglied: SlainteMhath
SlainteMhath 19.03.2021 um 13:35:35 Uhr
Goto Top
der chinesische hacker hat ein postit auf dem desktop hinterlassen, mit den namen der übertragenen dateien
Danke Frank, YMMD face-smile
Mitglied: NordicMike
NordicMike 19.03.2021 um 13:36:53 Uhr
Goto Top
Ach, stimmt, heute ist Freitag :c)
Mitglied: Klickibuntiklicker
Klickibuntiklicker 19.03.2021 um 13:40:50 Uhr
Goto Top
80-100 Kunden ist natürlich eine Ansage. Wie wurde 443 bereitgestellt, wenn ich Fragen darf?

Wir setzen bei uns hauptsächlich SSL Gateways von Sonicwall ein, haben jedoch ein paar Kunden die die WAF der Sophos UTM nutzen.
Auch wenn die aktuellen IPS Signaturen der UTM angeblich Hafnium erkennen sollen, traue ich dem Braten nicht.
Mitglied: NordicMike
NordicMike 19.03.2021 um 13:43:47 Uhr
Goto Top
Ist ein Vorfall zusammen mit einer Sophos WAF bekannt geworden?
Mitglied: Klickibuntiklicker
Klickibuntiklicker 19.03.2021 aktualisiert um 13:45:58 Uhr
Goto Top
Also bei allen Kunden mit der WAF schlug das Testproxylogon Script zumindest an. Webshells konnte ich keine finden. Hab die trotzdem alle neu gemacht.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.03.2021 um 13:47:06 Uhr
Goto Top
Zitat von @Bingo61:

Und sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.

Das hei-t nur, da- die IP/Adressen chinesische sind.

Ob das auch wirklich Chinesen waren oder ob jemand die nur als Sündenbock darstellt steht auf einem anderen Blatt. So etwas machen auch Amerikaner und Russen gerne und auch anderen "pöhse Purschen".

lks
Mitglied: NetzwerkDude
NetzwerkDude 19.03.2021 um 15:01:52 Uhr
Goto Top
Zitat von @Bingo61:
Und sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.
Das ist aus der Kategorie "Freitags-Attack-Attribution"? face-smile
Mitglied: ukulele-7
ukulele-7 19.03.2021 um 15:03:06 Uhr
Goto Top
Zitat von @Klickibuntiklicker:

Also bei allen Kunden mit der WAF schlug das Testproxylogon Script zumindest an. Webshells konnte ich keine finden. Hab die trotzdem alle neu gemacht.
Schlägt das nicht auch "an" wenn erfolglose Anmeldeversuche in den Logs stehen?

Ich habe auch eine Sophos und über WAF nachgedacht, daher wäre das schon sehr interessant.
Mitglied: Ex0r2k16
Ex0r2k16 19.03.2021 um 15:14:57 Uhr
Goto Top
Es gab hier mal einen User der Office 365 total verteufelt hat und dir für eine schlechte Serverwartung jetzt einen Abriss erteilt hätte face-big-smile

So far: An der Cloud ist doch nicht alles böse face-wink
Mitglied: radiogugu
radiogugu 19.03.2021 aktualisiert um 16:13:57 Uhr
Goto Top
Zitat von @Ex0r2k16:

Es gab hier mal einen User der Office 365 total verteufelt hat und dir für eine schlechte Serverwartung jetzt einen Abriss erteilt hätte face-big-smile

So far: An der Cloud ist doch nicht alles böse face-wink

Weiß nicht, ob man das so für alle Dinge stehen lassen sollte, aber die Microsoft Cloud ist auf jeden Fall besser gesichert / gepachted als der On-Prem Exchange face-smile

Gruß
Marc
Mitglied: itfrank
itfrank 19.03.2021 um 16:38:54 Uhr
Goto Top
Wow, davon habe ich erst jetzt was mitbekommen, aber wenn er doch ein postit hinterlassen hat ist es doch voll unprofessionell. Vielleicht liegt noch mehr dahinter?
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 19.03.2021 um 17:45:42 Uhr
Goto Top
Der ist wirklich gut! face-big-smile
Mitglied: GrueneSosseMitSpeck
GrueneSosseMitSpeck 20.03.2021 aktualisiert um 15:14:20 Uhr
Goto Top
wir haben vor ca. 6 Monaten auf gemanagte Exchange Instanzen in Azure umgstellt, die wurden vor ca. 4 Wochen einer "Härtung" unterzogen, also ein paar Tage vor dem massiven Anstieg der Zeroday-Attacken. Die hat allerdings Nebeneffekte, Anfang März waren die Mailserver oft nicht erreichbar und Aliasnamen werden nicht mehr richtig zu den eigentlichen Mailboxen geroutet weil da wohl irgendwelche transparenten firewalls oder Filter vorgeschaltet wurden, die zuviele false positives melden.

Bei uns wurden z.B. mehrere Unternehmensbestandteile in eigenständige GmbHs überführt, die dann ihre eigenen Infrastrukturen betrieben haben... und die nun in der Cloud auch separat gehostet werden. Die User haben die Mailaddresse der Dachorganisation zwar behalten, aber das Mailrouting ist seit 3 Woche im Arsch face-sad wenn Willi.Mustermann@corp.com, der in der Einheit ABC GmbH angestellt ist John.doe@corp.com eine Mail schicken will, der in der XYZ GmbH angestellt ist dann kommen die meist nicht an wegen "possible mail loop", "mailbox doesnt exist", "unable to route mail"

Dafür wird Microsoft noch bluten müssen... denn die kriegen eigentlich kofferweise Geld jeden Monat damit die eine halbe Million Mailaccounts unterhalb von ca. einem Dutzend Sub / Alias domains betreiben. Das war früher ein wenig zuviel für On Premise, deswegen hat die Dachorganisation ja migriert face-sad
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 20.03.2021 um 21:41:34 Uhr
Goto Top
Zitat von @GrueneSosseMitSpeck:
Dafür wird Microsoft noch bluten müssen... denn die kriegen eigentlich kofferweise Geld jeden Monat damit die eine halbe Million Mailaccounts unterhalb von ca. einem Dutzend Sub / Alias domains betreiben. Das war früher ein wenig zuviel für On Premise, deswegen hat die Dachorganisation ja migriert face-sad

Die kriegen aus meiner Sicht noch so viel mehr von Euch: tonnenweise Zugriff auf Eure Emails.
Mitglied: Ex0r2k16
Ex0r2k16 22.03.2021 um 08:50:38 Uhr
Goto Top
Zitat von @GrueneSosseMitSpeck:
[...]
Dafür wird Microsoft noch bluten müssen... [...]

Na da drück ich euch ganz fest die Daumen. Toi toi toi...