Hacker Angriff aus China
Servus,
bei wem ist denn der Angriff auf die Exchange gelaufen?
Wie habt ihr denn das ganze nun verbessert?
Uns hat es voll Erwischt, da Soziale Einrichtung mit 50 Einrichtungen.
Daten wurden abgegriffen.
Müssen ( werden) alle Exchange neu installieren, Proxy noch verschärfen.
Und der OWA ( Einfallstor) ist mal vorerst aus.
Und sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.
bei wem ist denn der Angriff auf die Exchange gelaufen?
Wie habt ihr denn das ganze nun verbessert?
Uns hat es voll Erwischt, da Soziale Einrichtung mit 50 Einrichtungen.
Daten wurden abgegriffen.
Müssen ( werden) alle Exchange neu installieren, Proxy noch verschärfen.
Und der OWA ( Einfallstor) ist mal vorerst aus.
Und sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.
Please also mark the comments that contributed to the solution of the article
Content-ID: 664893
Url: https://administrator.de/contentid/664893
Printed on: December 9, 2024 at 23:12 o'clock
20 Comments
Latest comment
moin...
bei ca. 80-100 Kunden
Frank
bei ca. 80-100 Kunden
Wie habt ihr denn das ganze nun verbessert?
na das was zu tun ist!Uns hat es voll Erwischt, da Soziale Einrichtung mit 50 Einrichtungen.
Daten wurden abgegriffen.
jo... melden.... blöde frage, wie hast du das festgestellt?Daten wurden abgegriffen.
Müssen ( werden) alle Exchange neu installieren, Proxy noch verschärfen.
wie... die laufen noch?Und der OWA ( Einfallstor) ist mal vorerst aus.
gutUnd sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.
ja... und was ist die frage, bzw. was können wir für dich tun?Frank
Moin...
der chinesische hacker hat ein postit auf dem desktop hinterlassen, mit den namen der übertragenen dateien!
Frank
der chinesische hacker hat ein postit auf dem desktop hinterlassen, mit den namen der übertragenen dateien!
Frank
80-100 Kunden ist natürlich eine Ansage. Wie wurde 443 bereitgestellt, wenn ich Fragen darf?
Wir setzen bei uns hauptsächlich SSL Gateways von Sonicwall ein, haben jedoch ein paar Kunden die die WAF der Sophos UTM nutzen.
Auch wenn die aktuellen IPS Signaturen der UTM angeblich Hafnium erkennen sollen, traue ich dem Braten nicht.
Wir setzen bei uns hauptsächlich SSL Gateways von Sonicwall ein, haben jedoch ein paar Kunden die die WAF der Sophos UTM nutzen.
Auch wenn die aktuellen IPS Signaturen der UTM angeblich Hafnium erkennen sollen, traue ich dem Braten nicht.
Zitat von @Bingo61:
Und sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.
Und sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.
Das hei-t nur, da- die IP/Adressen chinesische sind.
Ob das auch wirklich Chinesen waren oder ob jemand die nur als Sündenbock darstellt steht auf einem anderen Blatt. So etwas machen auch Amerikaner und Russen gerne und auch anderen "pöhse Purschen".
lks
Zitat von @Bingo61:
Und sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.
Das ist aus der Kategorie "Freitags-Attack-Attribution"? Und sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.
Zitat von @Klickibuntiklicker:
Also bei allen Kunden mit der WAF schlug das Testproxylogon Script zumindest an. Webshells konnte ich keine finden. Hab die trotzdem alle neu gemacht.
Schlägt das nicht auch "an" wenn erfolglose Anmeldeversuche in den Logs stehen?Also bei allen Kunden mit der WAF schlug das Testproxylogon Script zumindest an. Webshells konnte ich keine finden. Hab die trotzdem alle neu gemacht.
Ich habe auch eine Sophos und über WAF nachgedacht, daher wäre das schon sehr interessant.
Zitat von @Ex0r2k16:
Es gab hier mal einen User der Office 365 total verteufelt hat und dir für eine schlechte Serverwartung jetzt einen Abriss erteilt hätte
So far: An der Cloud ist doch nicht alles böse
Es gab hier mal einen User der Office 365 total verteufelt hat und dir für eine schlechte Serverwartung jetzt einen Abriss erteilt hätte
So far: An der Cloud ist doch nicht alles böse
Weiß nicht, ob man das so für alle Dinge stehen lassen sollte, aber die Microsoft Cloud ist auf jeden Fall besser gesichert / gepachted als der On-Prem Exchange
Gruß
Marc
wir haben vor ca. 6 Monaten auf gemanagte Exchange Instanzen in Azure umgstellt, die wurden vor ca. 4 Wochen einer "Härtung" unterzogen, also ein paar Tage vor dem massiven Anstieg der Zeroday-Attacken. Die hat allerdings Nebeneffekte, Anfang März waren die Mailserver oft nicht erreichbar und Aliasnamen werden nicht mehr richtig zu den eigentlichen Mailboxen geroutet weil da wohl irgendwelche transparenten firewalls oder Filter vorgeschaltet wurden, die zuviele false positives melden.
Bei uns wurden z.B. mehrere Unternehmensbestandteile in eigenständige GmbHs überführt, die dann ihre eigenen Infrastrukturen betrieben haben... und die nun in der Cloud auch separat gehostet werden. Die User haben die Mailaddresse der Dachorganisation zwar behalten, aber das Mailrouting ist seit 3 Woche im Arsch wenn Willi.Mustermann@corp.com, der in der Einheit ABC GmbH angestellt ist John.doe@corp.com eine Mail schicken will, der in der XYZ GmbH angestellt ist dann kommen die meist nicht an wegen "possible mail loop", "mailbox doesnt exist", "unable to route mail"
Dafür wird Microsoft noch bluten müssen... denn die kriegen eigentlich kofferweise Geld jeden Monat damit die eine halbe Million Mailaccounts unterhalb von ca. einem Dutzend Sub / Alias domains betreiben. Das war früher ein wenig zuviel für On Premise, deswegen hat die Dachorganisation ja migriert
Bei uns wurden z.B. mehrere Unternehmensbestandteile in eigenständige GmbHs überführt, die dann ihre eigenen Infrastrukturen betrieben haben... und die nun in der Cloud auch separat gehostet werden. Die User haben die Mailaddresse der Dachorganisation zwar behalten, aber das Mailrouting ist seit 3 Woche im Arsch wenn Willi.Mustermann@corp.com, der in der Einheit ABC GmbH angestellt ist John.doe@corp.com eine Mail schicken will, der in der XYZ GmbH angestellt ist dann kommen die meist nicht an wegen "possible mail loop", "mailbox doesnt exist", "unable to route mail"
Dafür wird Microsoft noch bluten müssen... denn die kriegen eigentlich kofferweise Geld jeden Monat damit die eine halbe Million Mailaccounts unterhalb von ca. einem Dutzend Sub / Alias domains betreiben. Das war früher ein wenig zuviel für On Premise, deswegen hat die Dachorganisation ja migriert
Zitat von @GrueneSosseMitSpeck:
Dafür wird Microsoft noch bluten müssen... denn die kriegen eigentlich kofferweise Geld jeden Monat damit die eine halbe Million Mailaccounts unterhalb von ca. einem Dutzend Sub / Alias domains betreiben. Das war früher ein wenig zuviel für On Premise, deswegen hat die Dachorganisation ja migriert
Dafür wird Microsoft noch bluten müssen... denn die kriegen eigentlich kofferweise Geld jeden Monat damit die eine halbe Million Mailaccounts unterhalb von ca. einem Dutzend Sub / Alias domains betreiben. Das war früher ein wenig zuviel für On Premise, deswegen hat die Dachorganisation ja migriert
Die kriegen aus meiner Sicht noch so viel mehr von Euch: tonnenweise Zugriff auf Eure Emails.
Na da drück ich euch ganz fest die Daumen. Toi toi toi...