stefankittel
16.03.2021, aktualisiert am 17.03.2021
view6697
view17
0
Goto Top

HAFNIUM Teil 2

gelöstFrageMicrosoftExchange Server
Moin,

heute Morgen hat ein Kunde von mir folgende Mail erhalten.

Von: EXCHANGE-EXPLOIT@firma.de
Datum: 16. März 2021 um 00:20:44 MEZ
An: name1 <name1@firma.de>, name2 <name2@firma.de>, name3 <name3@firma.de>, name3 <name3@firma.de>, name4 <name4@firma.de>, name5 <name5@firma.de>, name6 <name6@firma.de>
Betreff: UPDATE YOUR EXCHANGE SERVER NOW
Your email server is outdated and vulnerable to the recent Exchange exploit, see the following link for more details:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

This message was sent from your internal network as proof of successful exploitation.

Update ASAP to avoid data exposure/loss.

Regards,
a friendly script


Das Problem ist, dass der Server (Exchange 2016, Version 15.1 Build 2176.2) voll gepatched ist. Sowohl CU als auch Windows Updates.
Ich habe Windows Updates eben laufen gelassen und er hat 2 Defender Updates und ein CPU Microcode Update installiert (KB2267602, KB890830 und KB4589210). Nichts mit Exchange.
Auch wurden bisher mit den Skripten keine Zugriff gefunden.

Ich habe den Server erst einmal abgeschaltet.

Diese Dateien wurde, nachweislich aufgrund der Datensicherung, erst am 16.03.21 um 00:20 erstellt.

Mit dem Script detect_webshells.ps1 habe ich diese Datei identifiziert.
C:\Program Files\Microsoft\Exchange Server\V15\Frontend\HttpProxy\owa\auth\dd158db173bf4c5dac2e5f5b8a4cb906.aspx

Ein Scan von ESET hat nichts gefunden.

Ein Scan mit dem Defender hat dies gefunden und gelöscht.
file:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\owa\8e05b027\e164d61b\App_Web_ejmv5hji.dll

Frage1
Kann man C:\Program Files\Microsoft\Exchange Server\V15\Frontend eigentlich Read-Only machen?

Frage2
Kann man C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ einfach löschen? Ist ja temporär.

Viele Grüße

Stefan
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 663240

Url: https://administrator.de/contentid/663240

Ausgedruckt am: 22.11.2024 um 09:11 Uhr

17 Kommentare
Neuester Kommentar
Goto Top
wiesi200
Lösung wiesi200 16.03.2021 um 08:45:41 Uhr
Goto Top
Hallo,

schon mal den kpl. Header geprüft ob das wirklich von intern kommt.

Nicht das es eine Spammail vom Typ hey du schaust Pornos ist.
ingrimmsch
Lösung ingrimmsch 16.03.2021 um 08:51:42 Uhr
Goto Top
Ist es nun so, dass ein guter Hacker dich darauf aufmerksam gemacht hat? face-smile
StefanKittel
StefanKittel 16.03.2021 aktualisiert um 09:10:35 Uhr
Goto Top
Zitat von @wiesi200:
schon mal den kpl. Header geprüft ob das wirklich von intern kommt.
Nicht das es eine Spammail vom Typ hey du schaust Pornos ist.

Leider ja,

Es war ja auch ein Webshell auf dem Server.

Das lässt mich nur 2 Schlüsse zu:
A) Der Server wurde vor dem Update infiziert und zwar in einer Weise dass weder das Skript noch die Überprüfung der Protokolle dies angezeigt hatten
B) Der Server wurde von einer neuen Version infiziert nachdem der Server gepachted wurde.

Beides macht mir Angst.


Aktuell prüfe ich den Server ob ich noch etwas finden kann.
Das aber nur um herauszufinden wie die reinkamen.
Den Server werde ich wiederherstellen aus einer Datensicherung.

Received: from ServerExch.ad.firma.de ([LAN IP EXCHANGE]) by
 ServerExch.ad.firma.de ([LAN IP EXCHANGE]) with Microsoft SMTP
 Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id
 15.1.2176.2 via Mailbox Transport; Tue, 16 Mar 2021 00:20:44 +0100
Received: from ServerExch.ad.firma.de ([LAN IP EXCHANGE]) by
 ServerExch.ad.firma.de ([LAN IP EXCHANGE]) with Microsoft SMTP
 Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id
 15.1.2176.2; Tue, 16 Mar 2021 00:20:44 +0100
Received: from ServerExch (127.0.0.1) by
 ServerExch.ad.firma.de (127.0.0.1) with Microsoft SMTP Server
 id 15.1.2176.2 via Frontend Transport; Tue, 16 Mar 2021 00:20:44 +0100
MIME-Version: 1.0
From: <EXCHANGE-EXPLOIT@firma.de>
To: <name1@firma.de>,
	<name2@firma.de>, <name3@firma.de>,
Date: Tue, 16 Mar 2021 00:20:44 +0100
Subject: UPDATE YOUR EXCHANGE SERVER NOW
Content-Type: text/plain; charset="us-ascii"  
Content-Transfer-Encoding: quoted-printable
Message-ID: <0bcdd8b8-8d96-4029-8e75-dd95b8b20975@ServerExch.ad.firma.de>
Return-Path: EXCHANGE-EXPLOIT@firma.de
X-MS-Exchange-Organization-Network-Message-Id: f3a12923-0fdb-4e82-3e46-08d8e808f52b
X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0
X-MS-Exchange-Organization-AuthSource: ServerExch.ad.firma.de
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Transport-EndToEndLatency: 00:00:00.2180597
X-MS-Exchange-Processed-By-BccFoldering: 15.01.2176.002
StefanKittel
StefanKittel 16.03.2021 um 08:53:58 Uhr
Goto Top
Zitat von @ingrimmsch:
Ist es nun so, dass ein guter Hacker dich darauf aufmerksam gemacht hat? face-smile
Ich hätte es heute morgen im Büro eh gesehen weil ich mit einem RMM stündlich dieses Skript laufen lasse.
Aber ja, es "scheint" ein netter Hacker zu sein. Aber wer weiß...
7Gizmo7
Lösung 7Gizmo7 16.03.2021 um 09:09:02 Uhr
Goto Top
Hi,

kannst du mal bei Shodan , deine externe IP abfragen ?
https://www.shodan.io

Mit freundlichen Grüßen
chgorges
Lösung chgorges 16.03.2021 aktualisiert um 09:12:44 Uhr
Goto Top
Moin,

ist nicht unüblich, wenn die Webshells schon vor der Updateinstallation eingespielt wurden, wurschteln die auch danach fröhlich vor sich her, dagegen helfen die Updates nicht, das habe ich jetzt schon bei drei Servern gesehen.
Die Webshells wurden lt. 26855er-Skript und -Report jeweils am 03.03.2021 installiert und erst danach kamen die MS-Updates. Die Server kann man komplett in die Tonne treten.

Mach den Exchange platt, installier ihn neu und häng die alte DB wieder ein, anders kommst du aus der Nummer nicht mehr raus.

VG
StefanKittel
StefanKittel 16.03.2021 um 09:13:10 Uhr
Goto Top
Zitat von @chgorges:
Moin,
ist nicht unüblich, wenn die Webshells schon vor der Updateinstallation eingespielt wurden, wurschteln die auch danach fröhlich vor sich her, dagegen helfen die Updates nicht.

Deswegen schreibe ich das hier ja.

Dies bedeutet aber, dass jeder der das Update erst, wie ich, am 04.03. installiert hat kompromitiert sein könnte oder ist.
Auch wenn alle Prüfungen vorab nichts gefunden haben.

Oder es bedeutet, dass die Updates nicht helfen.

Beides ist nicht gut.

Stefan
chgorges
Lösung chgorges 16.03.2021 aktualisiert um 09:16:24 Uhr
Goto Top
Zitat von @StefanKittel:
Oder es bedeutet, dass die Updates nicht helfen

Doch, aber nicht rückwirkend. Wenn man schon befallen war, dann kann man patchen wie man will.

Oder die Hacker sind mutiert und der Impfstoff muss gepatcht werden *duckundwech* face-smile
heart1
anteNope
Lösung anteNope 16.03.2021 aktualisiert um 09:40:35 Uhr
Goto Top
Moin,

Es war ja auch ein Webshell auf dem Server.
Dann ist eh alles zu spät ... Du weißt nicht wo sich das alles eingenistet hat.

  • neue Mails vom alten Exchange manuell sichern
  • Ports dichtmachen
  • Recovery vom 01.03. oder 02.03. wiederherstellen
  • nach Webshells suchen / Logs durchsuchen
  • Nach Viren scannen
  • CU installieren
  • Patch installieren
  • Mails in die Postfächer manuell zurückführen
  • Ports wieder öffnen und vorher überlegen ob die wirklich notwendig sind

... installier ihn neu und häng die alte DB wieder ein
Ich würde nicht die DB vom kompromittierten Server wieder einklinken. Da könnte sich ebenso gut etwas eingenistet haben. Wenn man sich schon die Aufwand macht, dann aber auch komplett um wirklich sicher zu gehen.
Zudem überprüfe DNS, AD, usw. Wenn dir da auch nur eine Kleinigkeit verdächtig vor kommt, schieß die Systeme ebenfalls in die Vergangenheit. Mittlerweile hatten die ja genug Zeit sich da durchzuwurmen.
StefanKittel
StefanKittel 16.03.2021 um 10:12:01 Uhr
Goto Top
Moin,

ich weiß schon was ich tun muss.

Es ging mir hier um den Hinweis, dass selbst wenn man das Update ganz schnell eingespielt hat, der Virenscan negativ ist, die Skripte von MS nichts anzeigen, man trotzdem neue Freunde haben kann.

Stefan
126231
Lösung 126231 16.03.2021 um 19:40:01 Uhr
Goto Top
Hi Stefan!
Hast du denn vor dem Incident wirklich alles geprüft ob schon jemand auf dem System war bevor du den Patch eingespielt hast?
Das geht aus deinen Posts nicht eindeutig hervor...

Was prüfst du täglich? Und mit was?

Wenn du vorher alles mit den gleichen Tools geprüft hast, und jetzt trotzdem den Vorfall hast wäre das in der Tat beängstigend.
Wenn du jetzt im Nachgang erst prüfst - hast halt einen Fehler gemacht...

Gruß
Luigi
dertowa
Lösung dertowa 16.03.2021 aktualisiert um 22:21:28 Uhr
Goto Top
Die Meldung zu den aktuellen Patches hast du heute gelesen?
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march ...
Zudem gab es heute noch mal etwas hinsichtlich der Sicherheitslücken und deren Diagnose:
https://github.com/microsoft/CSS-Exchange/tree/main/Security
https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange- ...
StefanKittel
StefanKittel 16.03.2021 um 22:32:38 Uhr
Goto Top
Danke,

gibt es inzwischen eine Webseite wo man eine URL reinschreiben kann und die prüfen auf Verwundbarkeit?
Shodan kann dies, aber auch mit einem Bezahlaccount aktualisiert er den Scan nicht (einer ist 7 Tage alt) und der Support antwortet (nach 24 Stunden) nicht.

Stefan
126231
Lösung 126231 16.03.2021 um 23:00:41 Uhr
Goto Top
Ja sag mal... selbst im letzten Post ist ein Download-Link zur Verwendung mit dem nmap Scanner genannt...
StefanKittel
StefanKittel 17.03.2021 aktualisiert um 01:29:26 Uhr
Goto Top
Hallo,

Ich habe den Server aus einer Datensicherung im Februar wiederhergestellt.
Dann CU20 installiert und alles was Windows Updates angeboten hatte.
Version 15.1 ‎(Build 2242.4)‎

nmap sagt alles ok.

EOMT.ps1 sagt dies hier.
AUSFÜHRLICH: Starting EOMT.ps1 on SERVEREXCH
AUSFÜHRLICH: EOMT precheck complete on SERVEREXCH
AUSFÜHRLICH: SERVEREXCH is vulnerable: applying mitigation
AUSFÜHRLICH: Starting mitigation process on SERVEREXCH
AUSFÜHRLICH: IIS URL Rewrite Module is already installed on SERVEREXCH
AUSFÜHRLICH: Applying URL Rewrite configuration to SERVEREXCH :: Default Web Site
AUSFÜHRLICH: Mitigation complete on SERVEREXCH :: Default Web Site
AUSFÜHRLICH: Starting MSERTProcess on SERVEREXCH
AUSFÜHRLICH: MSERT download complete on SERVEREXCH
AUSFÜHRLICH: Quick scan will take several minutes to complete, please wait..
AUSFÜHRLICH: Running Microsoft Safety Scanner - Mode: Quick Scan on SERVEREXCH
Microsoft Safety Scanner is complete on SERVEREXCH No known threats detected.
AUSFÜHRLICH: Microsoft Safety Scanner is complete on SERVEREXCH No known threats detected.
AUSFÜHRLICH: EOMT.ps1 complete on SERVEREXCH, please review EOMT logs at
C:\Users\ADMINI~1.PRA\AppData\Local\Temp\msert\EOMT.log and the summary file at C:\EOMTSummary.txt

Und jetzt kommen wir zum eigentlichen Problem vermutlich.
Nach der Ausführung starte ich den Server neu und lasse das EOMT erneut laufen.
Ich bekomme die gleiche Anzeige.
Ja, Powershell als Administrator.

Ich habe das nun 4x gemacht (inklusive Neustart) und er ist immer noch nicht glücklich. Und ich auch nicht.

Ich begebe mich mal auf die Suche.

Stefan

Update
MS bietet ja nur Updates für 2016 bis CU19 an.
https://support.microsoft.com/en-us/topic/description-of-the-security-up ...

Da in CU20 dies Update bereits enthalten ist.

- Backup vom 15.02.21 eingespielt.
- Exchange 2016 CU20
- WU alles installiert
- nmap meldet kein Problem
- detect_webshell-skript.ps1 meldet keine Infektion
- EOMT.ps1 meldet dass der Server verletzbar ist

Kann Jemand bestätigen, ob EOMT.ps1 für Exchange 2016 CU20 falsch anzeigt?

Stefan
StefanKittel
StefanKittel 17.03.2021 um 08:20:17 Uhr
Goto Top
Moin,

ich führe das hier fort um es übersichtlicher zu gestalten.
Schlägt EOMT.ps1 fehl mit Exchange 2016 CU20?

Stefan
StefanKittel
StefanKittel 18.03.2021 um 00:32:36 Uhr
Goto Top
Hallo,

der andere Thread ist abgeschlossen.
Weitere Personen haben berichtet, dass EOMT mit Exchange 2016 CU20 eine falsche Warnung ausgeben.
gelöstFrageMicrosoftExchange Server
Mehr von StefanKittelStefanKittelMySQL Erklärung für Qcache_lowmem_prunes gesuchtStefanKittelStefanKittelVisualisieren einer Handvoll Werten über einen längeren Zeitraum onlineStefanKittel - 10 KommentareStefanKittelDNS Provider für MSP oder Reseller gesuchtStefanKittel - 8 KommentareStefanKittelMehr dBi bei WLAN Antennen ist doch besser?StefanKittel - 7 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareManuManu2021Verpasster Anruf von +49-030-123456 mit einer Mobilfunk Prepaid SIMManuManu2021 - 11 Kommentare