bingo61
Goto Top

Hacker Angriff aus China

Servus,

bei wem ist denn der Angriff auf die Exchange gelaufen?
Wie habt ihr denn das ganze nun verbessert?
Uns hat es voll Erwischt, da Soziale Einrichtung mit 50 Einrichtungen.
Daten wurden abgegriffen.
Müssen ( werden) alle Exchange neu installieren, Proxy noch verschärfen.
Und der OWA ( Einfallstor) ist mal vorerst aus.
Und sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.

Content-ID: 664893

Url: https://administrator.de/contentid/664893

Printed on: December 9, 2024 at 23:12 o'clock

tech-flare
tech-flare Mar 19, 2021 at 11:15:41 (UTC)
Goto Top
Hallo,

Letztendlich kannst du es nur mit einem gepatchten Exchange Server beheben.

Das heißt immer das aktuellste CU installiert haben und Sicherheitsupdates zügig einspielen.

Wart ihr zu langsam? Habt ihr die Updates überhaupt installiert? Auf welcher CU lief der Exchange?
wellknown
wellknown Mar 19, 2021 at 11:28:31 (UTC)
Goto Top
Na ja, man kann auch VPN benutzen. Nicht so komfortabel aber sicherer. Zumindestens waren wir nicht betroffen.
Vision2015
Vision2015 Mar 19, 2021 at 11:43:00 (UTC)
Goto Top
moin...
Zitat von @Bingo61:

Servus,

bei wem ist denn der Angriff auf die Exchange gelaufen?
bei ca. 80-100 Kunden
Wie habt ihr denn das ganze nun verbessert?
na das was zu tun ist!
Uns hat es voll Erwischt, da Soziale Einrichtung mit 50 Einrichtungen.
Daten wurden abgegriffen.
jo... melden.... blöde frage, wie hast du das festgestellt?
Müssen ( werden) alle Exchange neu installieren, Proxy noch verschärfen.
wie... die laufen noch?
Und der OWA ( Einfallstor) ist mal vorerst aus.
gut
Und sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.
ja... und was ist die frage, bzw. was können wir für dich tun?

Frank
NordicMike
NordicMike Mar 19, 2021 at 11:55:03 (UTC)
Goto Top
Wie wurde es bemerkt?
Vision2015
Vision2015 Mar 19, 2021 at 12:02:11 (UTC)
Goto Top
Moin...
Zitat von @NordicMike:

Wie wurde es bemerkt?

der chinesische hacker hat ein postit auf dem desktop hinterlassen, mit den namen der übertragenen dateien!

Frank
SlainteMhath
SlainteMhath Mar 19, 2021 at 12:35:35 (UTC)
Goto Top
der chinesische hacker hat ein postit auf dem desktop hinterlassen, mit den namen der übertragenen dateien
Danke Frank, YMMD face-smile
NordicMike
NordicMike Mar 19, 2021 at 12:36:53 (UTC)
Goto Top
Ach, stimmt, heute ist Freitag :c)
Klickibuntiklicker
Klickibuntiklicker Mar 19, 2021 at 12:40:50 (UTC)
Goto Top
80-100 Kunden ist natürlich eine Ansage. Wie wurde 443 bereitgestellt, wenn ich Fragen darf?

Wir setzen bei uns hauptsächlich SSL Gateways von Sonicwall ein, haben jedoch ein paar Kunden die die WAF der Sophos UTM nutzen.
Auch wenn die aktuellen IPS Signaturen der UTM angeblich Hafnium erkennen sollen, traue ich dem Braten nicht.
NordicMike
NordicMike Mar 19, 2021 at 12:43:47 (UTC)
Goto Top
Ist ein Vorfall zusammen mit einer Sophos WAF bekannt geworden?
Klickibuntiklicker
Klickibuntiklicker Mar 19, 2021 updated at 12:45:58 (UTC)
Goto Top
Also bei allen Kunden mit der WAF schlug das Testproxylogon Script zumindest an. Webshells konnte ich keine finden. Hab die trotzdem alle neu gemacht.
Lochkartenstanzer
Lochkartenstanzer Mar 19, 2021 at 12:47:06 (UTC)
Goto Top
Zitat von @Bingo61:

Und sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.

Das hei-t nur, da- die IP/Adressen chinesische sind.

Ob das auch wirklich Chinesen waren oder ob jemand die nur als Sündenbock darstellt steht auf einem anderen Blatt. So etwas machen auch Amerikaner und Russen gerne und auch anderen "pöhse Purschen".

lks
NetzwerkDude
NetzwerkDude Mar 19, 2021 at 14:01:52 (UTC)
Goto Top
Zitat von @Bingo61:
Und sollten Zweifler da sein, die IP der Angreifer war aus China, hat auch das BSI bestätigt.
Das ist aus der Kategorie "Freitags-Attack-Attribution"? face-smile
ukulele-7
ukulele-7 Mar 19, 2021 at 14:03:06 (UTC)
Goto Top
Zitat von @Klickibuntiklicker:

Also bei allen Kunden mit der WAF schlug das Testproxylogon Script zumindest an. Webshells konnte ich keine finden. Hab die trotzdem alle neu gemacht.
Schlägt das nicht auch "an" wenn erfolglose Anmeldeversuche in den Logs stehen?

Ich habe auch eine Sophos und über WAF nachgedacht, daher wäre das schon sehr interessant.
Ex0r2k16
Ex0r2k16 Mar 19, 2021 at 14:14:57 (UTC)
Goto Top
Es gab hier mal einen User der Office 365 total verteufelt hat und dir für eine schlechte Serverwartung jetzt einen Abriss erteilt hätte face-big-smile

So far: An der Cloud ist doch nicht alles böse face-wink
radiogugu
radiogugu Mar 19, 2021 updated at 15:13:57 (UTC)
Goto Top
Zitat von @Ex0r2k16:

Es gab hier mal einen User der Office 365 total verteufelt hat und dir für eine schlechte Serverwartung jetzt einen Abriss erteilt hätte face-big-smile

So far: An der Cloud ist doch nicht alles böse face-wink

Weiß nicht, ob man das so für alle Dinge stehen lassen sollte, aber die Microsoft Cloud ist auf jeden Fall besser gesichert / gepachted als der On-Prem Exchange face-smile

Gruß
Marc
itfrank
itfrank Mar 19, 2021 at 15:38:54 (UTC)
Goto Top
Wow, davon habe ich erst jetzt was mitbekommen, aber wenn er doch ein postit hinterlassen hat ist es doch voll unprofessionell. Vielleicht liegt noch mehr dahinter?
beidermachtvongreyscull
beidermachtvongreyscull Mar 19, 2021 at 16:45:42 (UTC)
Goto Top
Der ist wirklich gut! face-big-smile
GrueneSosseMitSpeck
GrueneSosseMitSpeck Mar 20, 2021 updated at 14:14:20 (UTC)
Goto Top
wir haben vor ca. 6 Monaten auf gemanagte Exchange Instanzen in Azure umgstellt, die wurden vor ca. 4 Wochen einer "Härtung" unterzogen, also ein paar Tage vor dem massiven Anstieg der Zeroday-Attacken. Die hat allerdings Nebeneffekte, Anfang März waren die Mailserver oft nicht erreichbar und Aliasnamen werden nicht mehr richtig zu den eigentlichen Mailboxen geroutet weil da wohl irgendwelche transparenten firewalls oder Filter vorgeschaltet wurden, die zuviele false positives melden.

Bei uns wurden z.B. mehrere Unternehmensbestandteile in eigenständige GmbHs überführt, die dann ihre eigenen Infrastrukturen betrieben haben... und die nun in der Cloud auch separat gehostet werden. Die User haben die Mailaddresse der Dachorganisation zwar behalten, aber das Mailrouting ist seit 3 Woche im Arsch face-sad wenn Willi.Mustermann@corp.com, der in der Einheit ABC GmbH angestellt ist John.doe@corp.com eine Mail schicken will, der in der XYZ GmbH angestellt ist dann kommen die meist nicht an wegen "possible mail loop", "mailbox doesnt exist", "unable to route mail"

Dafür wird Microsoft noch bluten müssen... denn die kriegen eigentlich kofferweise Geld jeden Monat damit die eine halbe Million Mailaccounts unterhalb von ca. einem Dutzend Sub / Alias domains betreiben. Das war früher ein wenig zuviel für On Premise, deswegen hat die Dachorganisation ja migriert face-sad
beidermachtvongreyscull
beidermachtvongreyscull Mar 20, 2021 at 20:41:34 (UTC)
Goto Top
Zitat von @GrueneSosseMitSpeck:
Dafür wird Microsoft noch bluten müssen... denn die kriegen eigentlich kofferweise Geld jeden Monat damit die eine halbe Million Mailaccounts unterhalb von ca. einem Dutzend Sub / Alias domains betreiben. Das war früher ein wenig zuviel für On Premise, deswegen hat die Dachorganisation ja migriert face-sad

Die kriegen aus meiner Sicht noch so viel mehr von Euch: tonnenweise Zugriff auf Eure Emails.
Ex0r2k16
Ex0r2k16 Mar 22, 2021 at 07:50:38 (UTC)
Goto Top
Zitat von @GrueneSosseMitSpeck:
[...]
Dafür wird Microsoft noch bluten müssen... [...]

Na da drück ich euch ganz fest die Daumen. Toi toi toi...