20
Hacker Angriff aus China
Servus,
bei wem ist denn der Angriff auf die Exchange gelaufen?
Wie habt ihr denn das ganze nun verbessert?
Uns hat es voll Erwischt, da Soziale Einrichtung mit 50 Einrichtungen.
Daten wurden abgegriffen.
Müssen ( werden) alle Exchange neu installieren, Proxy noch verschärfen.
Und der OWA ( Einfallstor) ist mal vorerst aus.
Und sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.
bei wem ist denn der Angriff auf die Exchange gelaufen?
Wie habt ihr denn das ganze nun verbessert?
Uns hat es voll Erwischt, da Soziale Einrichtung mit 50 Einrichtungen.
Daten wurden abgegriffen.
Müssen ( werden) alle Exchange neu installieren, Proxy noch verschärfen.
Und der OWA ( Einfallstor) ist mal vorerst aus.
Und sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 664893
Url: https://administrator.de/contentid/664893
Ausgedruckt am: 23.11.2024 um 10:11 Uhr
20 Kommentare
Neuester Kommentar
Hallo,
Letztendlich kannst du es nur mit einem gepatchten Exchange Server beheben.
Das heißt immer das aktuellste CU installiert haben und Sicherheitsupdates zügig einspielen.
Wart ihr zu langsam? Habt ihr die Updates überhaupt installiert? Auf welcher CU lief der Exchange?
Letztendlich kannst du es nur mit einem gepatchten Exchange Server beheben.
Das heißt immer das aktuellste CU installiert haben und Sicherheitsupdates zügig einspielen.
Wart ihr zu langsam? Habt ihr die Updates überhaupt installiert? Auf welcher CU lief der Exchange?
Na ja, man kann auch VPN benutzen. Nicht so komfortabel aber sicherer. Zumindestens waren wir nicht betroffen.
moin...
bei ca. 80-100 Kunden
Frank
bei ca. 80-100 Kunden
Wie habt ihr denn das ganze nun verbessert?
na das was zu tun ist!Uns hat es voll Erwischt, da Soziale Einrichtung mit 50 Einrichtungen.
Daten wurden abgegriffen.
jo... melden.... blöde frage, wie hast du das festgestellt?Daten wurden abgegriffen.
Müssen ( werden) alle Exchange neu installieren, Proxy noch verschärfen.
wie... die laufen noch?Und der OWA ( Einfallstor) ist mal vorerst aus.
gutUnd sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.
ja... und was ist die frage, bzw. was können wir für dich tun?Frank
Wie wurde es bemerkt?
Moin...
der chinesische hacker hat ein postit auf dem desktop hinterlassen, mit den namen der übertragenen dateien!
Frank
der chinesische hacker hat ein postit auf dem desktop hinterlassen, mit den namen der übertragenen dateien!
Frank
2
der chinesische hacker hat ein postit auf dem desktop hinterlassen, mit den namen der übertragenen dateien
Danke Frank, YMMD 
Ach, stimmt, heute ist Freitag :c)
80-100 Kunden ist natürlich eine Ansage. Wie wurde 443 bereitgestellt, wenn ich Fragen darf?
Wir setzen bei uns hauptsächlich SSL Gateways von Sonicwall ein, haben jedoch ein paar Kunden die die WAF der Sophos UTM nutzen.
Auch wenn die aktuellen IPS Signaturen der UTM angeblich Hafnium erkennen sollen, traue ich dem Braten nicht.
Wir setzen bei uns hauptsächlich SSL Gateways von Sonicwall ein, haben jedoch ein paar Kunden die die WAF der Sophos UTM nutzen.
Auch wenn die aktuellen IPS Signaturen der UTM angeblich Hafnium erkennen sollen, traue ich dem Braten nicht.
Ist ein Vorfall zusammen mit einer Sophos WAF bekannt geworden?
Also bei allen Kunden mit der WAF schlug das Testproxylogon Script zumindest an. Webshells konnte ich keine finden. Hab die trotzdem alle neu gemacht.
Zitat von @Bingo61:
Und sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.
Und sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.
Das hei-t nur, da- die IP/Adressen chinesische sind.
Ob das auch wirklich Chinesen waren oder ob jemand die nur als Sündenbock darstellt steht auf einem anderen Blatt. So etwas machen auch Amerikaner und Russen gerne und auch anderen "pöhse Purschen".
lks
Zitat von @Bingo61:
Und sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.
Das ist aus der Kategorie "Freitags-Attack-Attribution"? Und sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.
Zitat von @Klickibuntiklicker:
Also bei allen Kunden mit der WAF schlug das Testproxylogon Script zumindest an. Webshells konnte ich keine finden. Hab die trotzdem alle neu gemacht.
Schlägt das nicht auch "an" wenn erfolglose Anmeldeversuche in den Logs stehen?Also bei allen Kunden mit der WAF schlug das Testproxylogon Script zumindest an. Webshells konnte ich keine finden. Hab die trotzdem alle neu gemacht.
Ich habe auch eine Sophos und über WAF nachgedacht, daher wäre das schon sehr interessant.
Es gab hier mal einen User der Office 365 total verteufelt hat und dir für eine schlechte Serverwartung jetzt einen Abriss erteilt hätte 
So far: An der Cloud ist doch nicht alles böse
So far: An der Cloud ist doch nicht alles böse
Zitat von @Ex0r2k16:
Es gab hier mal einen User der Office 365 total verteufelt hat und dir für eine schlechte Serverwartung jetzt einen Abriss erteilt hätte
So far: An der Cloud ist doch nicht alles böse
Es gab hier mal einen User der Office 365 total verteufelt hat und dir für eine schlechte Serverwartung jetzt einen Abriss erteilt hätte
So far: An der Cloud ist doch nicht alles böse
Weiß nicht, ob man das so für alle Dinge stehen lassen sollte, aber die Microsoft Cloud ist auf jeden Fall besser gesichert / gepachted als der On-Prem Exchange
Gruß
Marc
Wow, davon habe ich erst jetzt was mitbekommen, aber wenn er doch ein postit hinterlassen hat ist es doch voll unprofessionell. Vielleicht liegt noch mehr dahinter?
Der ist wirklich gut!
wir haben vor ca. 6 Monaten auf gemanagte Exchange Instanzen in Azure umgstellt, die wurden vor ca. 4 Wochen einer "Härtung" unterzogen, also ein paar Tage vor dem massiven Anstieg der Zeroday-Attacken. Die hat allerdings Nebeneffekte, Anfang März waren die Mailserver oft nicht erreichbar und Aliasnamen werden nicht mehr richtig zu den eigentlichen Mailboxen geroutet weil da wohl irgendwelche transparenten firewalls oder Filter vorgeschaltet wurden, die zuviele false positives melden.
Bei uns wurden z.B. mehrere Unternehmensbestandteile in eigenständige GmbHs überführt, die dann ihre eigenen Infrastrukturen betrieben haben... und die nun in der Cloud auch separat gehostet werden. Die User haben die Mailaddresse der Dachorganisation zwar behalten, aber das Mailrouting ist seit 3 Woche im Arsch
wenn Willi.Mustermann@corp.com, der in der Einheit ABC GmbH angestellt ist John.doe@corp.com eine Mail schicken will, der in der XYZ GmbH angestellt ist dann kommen die meist nicht an wegen "possible mail loop", "mailbox doesnt exist", "unable to route mail"
Dafür wird Microsoft noch bluten müssen... denn die kriegen eigentlich kofferweise Geld jeden Monat damit die eine halbe Million Mailaccounts unterhalb von ca. einem Dutzend Sub / Alias domains betreiben. Das war früher ein wenig zuviel für On Premise, deswegen hat die Dachorganisation ja migriert
Bei uns wurden z.B. mehrere Unternehmensbestandteile in eigenständige GmbHs überführt, die dann ihre eigenen Infrastrukturen betrieben haben... und die nun in der Cloud auch separat gehostet werden. Die User haben die Mailaddresse der Dachorganisation zwar behalten, aber das Mailrouting ist seit 3 Woche im Arsch
wenn Willi.Mustermann@corp.com, der in der Einheit ABC GmbH angestellt ist John.doe@corp.com eine Mail schicken will, der in der XYZ GmbH angestellt ist dann kommen die meist nicht an wegen "possible mail loop", "mailbox doesnt exist", "unable to route mail"Dafür wird Microsoft noch bluten müssen... denn die kriegen eigentlich kofferweise Geld jeden Monat damit die eine halbe Million Mailaccounts unterhalb von ca. einem Dutzend Sub / Alias domains betreiben. Das war früher ein wenig zuviel für On Premise, deswegen hat die Dachorganisation ja migriert
Zitat von @GrueneSosseMitSpeck:
Dafür wird Microsoft noch bluten müssen... denn die kriegen eigentlich kofferweise Geld jeden Monat damit die eine halbe Million Mailaccounts unterhalb von ca. einem Dutzend Sub / Alias domains betreiben. Das war früher ein wenig zuviel für On Premise, deswegen hat die Dachorganisation ja migriert
Dafür wird Microsoft noch bluten müssen... denn die kriegen eigentlich kofferweise Geld jeden Monat damit die eine halbe Million Mailaccounts unterhalb von ca. einem Dutzend Sub / Alias domains betreiben. Das war früher ein wenig zuviel für On Premise, deswegen hat die Dachorganisation ja migriert
Die kriegen aus meiner Sicht noch so viel mehr von Euch: tonnenweise Zugriff auf Eure Emails.
Na da drück ich euch ganz fest die Daumen. Toi toi toi...
