HAFNIUM Teil 2
Moin,
heute Morgen hat ein Kunde von mir folgende Mail erhalten.
Das Problem ist, dass der Server (Exchange 2016, Version 15.1 Build 2176.2) voll gepatched ist. Sowohl CU als auch Windows Updates.
Ich habe Windows Updates eben laufen gelassen und er hat 2 Defender Updates und ein CPU Microcode Update installiert (KB2267602, KB890830 und KB4589210). Nichts mit Exchange.
Auch wurden bisher mit den Skripten keine Zugriff gefunden.
Ich habe den Server erst einmal abgeschaltet.
Diese Dateien wurde, nachweislich aufgrund der Datensicherung, erst am 16.03.21 um 00:20 erstellt.
Mit dem Script detect_webshells.ps1 habe ich diese Datei identifiziert.
C:\Program Files\Microsoft\Exchange Server\V15\Frontend\HttpProxy\owa\auth\dd158db173bf4c5dac2e5f5b8a4cb906.aspx
Ein Scan von ESET hat nichts gefunden.
Ein Scan mit dem Defender hat dies gefunden und gelöscht.
file:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\owa\8e05b027\e164d61b\App_Web_ejmv5hji.dll
Frage1
Kann man C:\Program Files\Microsoft\Exchange Server\V15\Frontend eigentlich Read-Only machen?
Frage2
Kann man C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ einfach löschen? Ist ja temporär.
Viele Grüße
Stefan
heute Morgen hat ein Kunde von mir folgende Mail erhalten.
Von: EXCHANGE-EXPLOIT@firma.de
Datum: 16. März 2021 um 00:20:44 MEZ
An: name1 <name1@firma.de>, name2 <name2@firma.de>, name3 <name3@firma.de>, name3 <name3@firma.de>, name4 <name4@firma.de>, name5 <name5@firma.de>, name6 <name6@firma.de>
Betreff: UPDATE YOUR EXCHANGE SERVER NOW
Your email server is outdated and vulnerable to the recent Exchange exploit, see the following link for more details:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
This message was sent from your internal network as proof of successful exploitation.
Update ASAP to avoid data exposure/loss.
Regards,
a friendly script
Das Problem ist, dass der Server (Exchange 2016, Version 15.1 Build 2176.2) voll gepatched ist. Sowohl CU als auch Windows Updates.
Ich habe Windows Updates eben laufen gelassen und er hat 2 Defender Updates und ein CPU Microcode Update installiert (KB2267602, KB890830 und KB4589210). Nichts mit Exchange.
Auch wurden bisher mit den Skripten keine Zugriff gefunden.
Ich habe den Server erst einmal abgeschaltet.
Diese Dateien wurde, nachweislich aufgrund der Datensicherung, erst am 16.03.21 um 00:20 erstellt.
Mit dem Script detect_webshells.ps1 habe ich diese Datei identifiziert.
C:\Program Files\Microsoft\Exchange Server\V15\Frontend\HttpProxy\owa\auth\dd158db173bf4c5dac2e5f5b8a4cb906.aspx
Ein Scan von ESET hat nichts gefunden.
Ein Scan mit dem Defender hat dies gefunden und gelöscht.
file:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\owa\8e05b027\e164d61b\App_Web_ejmv5hji.dll
Frage1
Kann man C:\Program Files\Microsoft\Exchange Server\V15\Frontend eigentlich Read-Only machen?
Frage2
Kann man C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ einfach löschen? Ist ja temporär.
Viele Grüße
Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 663240
Url: https://administrator.de/forum/hafnium-teil-2-663240.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
17 Kommentare
Neuester Kommentar
Hi,
kannst du mal bei Shodan , deine externe IP abfragen ?
https://www.shodan.io
Mit freundlichen Grüßen
kannst du mal bei Shodan , deine externe IP abfragen ?
https://www.shodan.io
Mit freundlichen Grüßen
Moin,
ist nicht unüblich, wenn die Webshells schon vor der Updateinstallation eingespielt wurden, wurschteln die auch danach fröhlich vor sich her, dagegen helfen die Updates nicht, das habe ich jetzt schon bei drei Servern gesehen.
Die Webshells wurden lt. 26855er-Skript und -Report jeweils am 03.03.2021 installiert und erst danach kamen die MS-Updates. Die Server kann man komplett in die Tonne treten.
Mach den Exchange platt, installier ihn neu und häng die alte DB wieder ein, anders kommst du aus der Nummer nicht mehr raus.
VG
ist nicht unüblich, wenn die Webshells schon vor der Updateinstallation eingespielt wurden, wurschteln die auch danach fröhlich vor sich her, dagegen helfen die Updates nicht, das habe ich jetzt schon bei drei Servern gesehen.
Die Webshells wurden lt. 26855er-Skript und -Report jeweils am 03.03.2021 installiert und erst danach kamen die MS-Updates. Die Server kann man komplett in die Tonne treten.
Mach den Exchange platt, installier ihn neu und häng die alte DB wieder ein, anders kommst du aus der Nummer nicht mehr raus.
VG
Doch, aber nicht rückwirkend. Wenn man schon befallen war, dann kann man patchen wie man will.
Oder die Hacker sind mutiert und der Impfstoff muss gepatcht werden *duckundwech*
Moin,
Zudem überprüfe DNS, AD, usw. Wenn dir da auch nur eine Kleinigkeit verdächtig vor kommt, schieß die Systeme ebenfalls in die Vergangenheit. Mittlerweile hatten die ja genug Zeit sich da durchzuwurmen.
Es war ja auch ein Webshell auf dem Server.
Dann ist eh alles zu spät ... Du weißt nicht wo sich das alles eingenistet hat.- neue Mails vom alten Exchange manuell sichern
- Ports dichtmachen
- Recovery vom 01.03. oder 02.03. wiederherstellen
- nach Webshells suchen / Logs durchsuchen
- Nach Viren scannen
- CU installieren
- Patch installieren
- Mails in die Postfächer manuell zurückführen
- Ports wieder öffnen und vorher überlegen ob die wirklich notwendig sind
... installier ihn neu und häng die alte DB wieder ein
Ich würde nicht die DB vom kompromittierten Server wieder einklinken. Da könnte sich ebenso gut etwas eingenistet haben. Wenn man sich schon die Aufwand macht, dann aber auch komplett um wirklich sicher zu gehen.Zudem überprüfe DNS, AD, usw. Wenn dir da auch nur eine Kleinigkeit verdächtig vor kommt, schieß die Systeme ebenfalls in die Vergangenheit. Mittlerweile hatten die ja genug Zeit sich da durchzuwurmen.
Hi Stefan!
Hast du denn vor dem Incident wirklich alles geprüft ob schon jemand auf dem System war bevor du den Patch eingespielt hast?
Das geht aus deinen Posts nicht eindeutig hervor...
Was prüfst du täglich? Und mit was?
Wenn du vorher alles mit den gleichen Tools geprüft hast, und jetzt trotzdem den Vorfall hast wäre das in der Tat beängstigend.
Wenn du jetzt im Nachgang erst prüfst - hast halt einen Fehler gemacht...
Gruß
Luigi
Hast du denn vor dem Incident wirklich alles geprüft ob schon jemand auf dem System war bevor du den Patch eingespielt hast?
Das geht aus deinen Posts nicht eindeutig hervor...
Was prüfst du täglich? Und mit was?
Wenn du vorher alles mit den gleichen Tools geprüft hast, und jetzt trotzdem den Vorfall hast wäre das in der Tat beängstigend.
Wenn du jetzt im Nachgang erst prüfst - hast halt einen Fehler gemacht...
Gruß
Luigi
Die Meldung zu den aktuellen Patches hast du heute gelesen?
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march ...
Zudem gab es heute noch mal etwas hinsichtlich der Sicherheitslücken und deren Diagnose:
https://github.com/microsoft/CSS-Exchange/tree/main/Security
https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange- ...
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march ...
Zudem gab es heute noch mal etwas hinsichtlich der Sicherheitslücken und deren Diagnose:
https://github.com/microsoft/CSS-Exchange/tree/main/Security
https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange- ...
Ja sag mal... selbst im letzten Post ist ein Download-Link zur Verwendung mit dem nmap Scanner genannt...