HAFNIUM Teil 2

Mitglied: StefanKittel

StefanKittel (Level 5) - Jetzt verbinden

16.03.2021, aktualisiert 17.03.2021, 2835 Aufrufe, 17 Kommentare, 1 Danke

Moin,

heute Morgen hat ein Kunde von mir folgende Mail erhalten.



Das Problem ist, dass der Server (Exchange 2016, Version 15.1 Build 2176.2) voll gepatched ist. Sowohl CU als auch Windows Updates.
Ich habe Windows Updates eben laufen gelassen und er hat 2 Defender Updates und ein CPU Microcode Update installiert (KB2267602, KB890830 und KB4589210). Nichts mit Exchange.
Auch wurden bisher mit den Skripten keine Zugriff gefunden.

Ich habe den Server erst einmal abgeschaltet.

Diese Dateien wurde, nachweislich aufgrund der Datensicherung, erst am 16.03.21 um 00:20 erstellt.

Mit dem Script detect_webshells.ps1 habe ich diese Datei identifiziert.
C:\Program Files\Microsoft\Exchange Server\V15\Frontend\HttpProxy\owa\auth\dd158db173bf4c5dac2e5f5b8a4cb906.aspx

Ein Scan von ESET hat nichts gefunden.

Ein Scan mit dem Defender hat dies gefunden und gelöscht.
file:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\owa\8e05b027\e164d61b\App_Web_ejmv5hji.dll

Frage1
Kann man C:\Program Files\Microsoft\Exchange Server\V15\Frontend eigentlich Read-Only machen?

Frage2
Kann man C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ einfach löschen? Ist ja temporär.

Viele Grüße

Stefan
Mitglied: wiesi200
LÖSUNG 16.03.2021 um 08:45 Uhr
Hallo,

schon mal den kpl. Header geprüft ob das wirklich von intern kommt.

Nicht das es eine Spammail vom Typ hey du schaust Pornos ist.
Bitte warten ..
Mitglied: wieoderwas
LÖSUNG 16.03.2021 um 08:51 Uhr
Ist es nun so, dass ein guter Hacker dich darauf aufmerksam gemacht hat? :) face-smile
Bitte warten ..
Mitglied: StefanKittel
16.03.2021, aktualisiert um 09:10 Uhr
Zitat von @wiesi200:
schon mal den kpl. Header geprüft ob das wirklich von intern kommt.
Nicht das es eine Spammail vom Typ hey du schaust Pornos ist.

Leider ja,

Es war ja auch ein Webshell auf dem Server.

Das lässt mich nur 2 Schlüsse zu:
A) Der Server wurde vor dem Update infiziert und zwar in einer Weise dass weder das Skript noch die Überprüfung der Protokolle dies angezeigt hatten
B) Der Server wurde von einer neuen Version infiziert nachdem der Server gepachted wurde.

Beides macht mir Angst.


Aktuell prüfe ich den Server ob ich noch etwas finden kann.
Das aber nur um herauszufinden wie die reinkamen.
Den Server werde ich wiederherstellen aus einer Datensicherung.


Bitte warten ..
Mitglied: StefanKittel
16.03.2021 um 08:53 Uhr
Zitat von @wieoderwas:
Ist es nun so, dass ein guter Hacker dich darauf aufmerksam gemacht hat? :) face-smile
Ich hätte es heute morgen im Büro eh gesehen weil ich mit einem RMM stündlich dieses Skript laufen lasse.
Aber ja, es "scheint" ein netter Hacker zu sein. Aber wer weiß...
Bitte warten ..
Mitglied: 7Gizmo7
LÖSUNG 16.03.2021 um 09:09 Uhr
Hi,

kannst du mal bei Shodan , deine externe IP abfragen ?
https://www.shodan.io

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: chgorges
LÖSUNG 16.03.2021, aktualisiert um 09:12 Uhr
Moin,

ist nicht unüblich, wenn die Webshells schon vor der Updateinstallation eingespielt wurden, wurschteln die auch danach fröhlich vor sich her, dagegen helfen die Updates nicht, das habe ich jetzt schon bei drei Servern gesehen.
Die Webshells wurden lt. 26855er-Skript und -Report jeweils am 03.03.2021 installiert und erst danach kamen die MS-Updates. Die Server kann man komplett in die Tonne treten.

Mach den Exchange platt, installier ihn neu und häng die alte DB wieder ein, anders kommst du aus der Nummer nicht mehr raus.

VG
Bitte warten ..
Mitglied: StefanKittel
16.03.2021 um 09:13 Uhr
Zitat von @chgorges:
Moin,
ist nicht unüblich, wenn die Webshells schon vor der Updateinstallation eingespielt wurden, wurschteln die auch danach fröhlich vor sich her, dagegen helfen die Updates nicht.

Deswegen schreibe ich das hier ja.

Dies bedeutet aber, dass jeder der das Update erst, wie ich, am 04.03. installiert hat kompromitiert sein könnte oder ist.
Auch wenn alle Prüfungen vorab nichts gefunden haben.

Oder es bedeutet, dass die Updates nicht helfen.

Beides ist nicht gut.

Stefan
Bitte warten ..
Mitglied: chgorges
LÖSUNG 16.03.2021, aktualisiert um 09:16 Uhr
Zitat von @StefanKittel:
Oder es bedeutet, dass die Updates nicht helfen

Doch, aber nicht rückwirkend. Wenn man schon befallen war, dann kann man patchen wie man will.

Oder die Hacker sind mutiert und der Impfstoff muss gepatcht werden *duckundwech* :) face-smile
Bitte warten ..
Mitglied: anteNope
LÖSUNG 16.03.2021, aktualisiert um 09:40 Uhr
Moin,

Es war ja auch ein Webshell auf dem Server.
Dann ist eh alles zu spät ... Du weißt nicht wo sich das alles eingenistet hat.

  • neue Mails vom alten Exchange manuell sichern
  • Ports dichtmachen
  • Recovery vom 01.03. oder 02.03. wiederherstellen
  • nach Webshells suchen / Logs durchsuchen
  • Nach Viren scannen
  • CU installieren
  • Patch installieren
  • Mails in die Postfächer manuell zurückführen
  • Ports wieder öffnen und vorher überlegen ob die wirklich notwendig sind

... installier ihn neu und häng die alte DB wieder ein
Ich würde nicht die DB vom kompromittierten Server wieder einklinken. Da könnte sich ebenso gut etwas eingenistet haben. Wenn man sich schon die Aufwand macht, dann aber auch komplett um wirklich sicher zu gehen.
Zudem überprüfe DNS, AD, usw. Wenn dir da auch nur eine Kleinigkeit verdächtig vor kommt, schieß die Systeme ebenfalls in die Vergangenheit. Mittlerweile hatten die ja genug Zeit sich da durchzuwurmen.
Bitte warten ..
Mitglied: StefanKittel
16.03.2021 um 10:12 Uhr
Moin,

ich weiß schon was ich tun muss.

Es ging mir hier um den Hinweis, dass selbst wenn man das Update ganz schnell eingespielt hat, der Virenscan negativ ist, die Skripte von MS nichts anzeigen, man trotzdem neue Freunde haben kann.

Stefan
Bitte warten ..
Mitglied: papa-luigi
LÖSUNG 16.03.2021 um 19:40 Uhr
Hi Stefan!
Hast du denn vor dem Incident wirklich alles geprüft ob schon jemand auf dem System war bevor du den Patch eingespielt hast?
Das geht aus deinen Posts nicht eindeutig hervor...

Was prüfst du täglich? Und mit was?

Wenn du vorher alles mit den gleichen Tools geprüft hast, und jetzt trotzdem den Vorfall hast wäre das in der Tat beängstigend.
Wenn du jetzt im Nachgang erst prüfst - hast halt einen Fehler gemacht...

Gruß
Luigi
Bitte warten ..
Mitglied: dertowa
LÖSUNG 16.03.2021, aktualisiert um 22:21 Uhr
Die Meldung zu den aktuellen Patches hast du heute gelesen?
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march ...
Zudem gab es heute noch mal etwas hinsichtlich der Sicherheitslücken und deren Diagnose:
https://github.com/microsoft/CSS-Exchange/tree/main/Security
https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange- ...
Bitte warten ..
Mitglied: StefanKittel
16.03.2021 um 22:32 Uhr
Danke,

gibt es inzwischen eine Webseite wo man eine URL reinschreiben kann und die prüfen auf Verwundbarkeit?
Shodan kann dies, aber auch mit einem Bezahlaccount aktualisiert er den Scan nicht (einer ist 7 Tage alt) und der Support antwortet (nach 24 Stunden) nicht.

Stefan
Bitte warten ..
Mitglied: papa-luigi
LÖSUNG 16.03.2021 um 23:00 Uhr
Ja sag mal... selbst im letzten Post ist ein Download-Link zur Verwendung mit dem nmap Scanner genannt...
Bitte warten ..
Mitglied: StefanKittel
17.03.2021, aktualisiert um 01:29 Uhr
Hallo,

Ich habe den Server aus einer Datensicherung im Februar wiederhergestellt.
Dann CU20 installiert und alles was Windows Updates angeboten hatte.

nmap sagt alles ok.

EOMT.ps1 sagt dies hier.

Und jetzt kommen wir zum eigentlichen Problem vermutlich.
Nach der Ausführung starte ich den Server neu und lasse das EOMT erneut laufen.
Ich bekomme die gleiche Anzeige.
Ja, Powershell als Administrator.

Ich habe das nun 4x gemacht (inklusive Neustart) und er ist immer noch nicht glücklich. Und ich auch nicht.

Ich begebe mich mal auf die Suche.

Stefan

Update
MS bietet ja nur Updates für 2016 bis CU19 an.
https://support.microsoft.com/en-us/topic/description-of-the-security-up ...

Da in CU20 dies Update bereits enthalten ist.

- Backup vom 15.02.21 eingespielt.
- Exchange 2016 CU20
- WU alles installiert
- nmap meldet kein Problem
- detect_webshell-skript.ps1 meldet keine Infektion
- EOMT.ps1 meldet dass der Server verletzbar ist

Kann Jemand bestätigen, ob EOMT.ps1 für Exchange 2016 CU20 falsch anzeigt?

Stefan
Bitte warten ..
Mitglied: StefanKittel
17.03.2021 um 08:20 Uhr
Moin,

ich führe das hier fort um es übersichtlicher zu gestalten.
https://administrator.de/forum/schlaegt-eomt-ps1-fehlt-mit-exchange-2016 ...

Stefan
Bitte warten ..
Mitglied: StefanKittel
18.03.2021 um 00:32 Uhr
Hallo,

der andere Thread ist abgeschlossen.
Weitere Personen haben berichtet, dass EOMT mit Exchange 2016 CU20 eine falsche Warnung ausgeben.
Bitte warten ..
Heiß diskutierte Inhalte
Server-Hardware
Mini-PC oder Server für Dauerbetrieb
Surfer12Vor 1 TagFrageServer-Hardware20 Kommentare

Hallo zusammen, wir projektieren gerade eine neue Zutrittslösung für ein kleines Hotel mit ca. 20 Zimmern. Die Gäste sollen in Zukunft einen SelfCheckIn machen ...

Exchange Server
Sicherheits-Update KB5001779 für Exchange 2013-2019
kgbornVor 15 StundenInformationExchange Server6 Kommentare

Microsoft hat zum 13. April 2021 das Sicherheitsupdate KB5001779 für Exchange 2013-2019 veröffentlicht, um vier RCE-Schwachstellen zu schließen. Das Update sollte zeitnah installiert werden. ...

Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 5 StundenInformationDatenschutz18 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Windows 10
Windows 10 20HS SCCM
stoepsu77Vor 1 TagFrageWindows 1017 Kommentare

Hallo zusammen Ich hoffe, dass jemand von euch mir eine weitere Idee geben kann. Ich habe keine Ideen mehr. Folgendes: Wir haben eine Tasksequenz ...

Suche Projektpartner
Suche Projektpartner
irinaterletska12Vor 1 TagFrageSuche Projektpartner1 Kommentar

Hallo alle zusammen . Wir sind eine ukrainische Firma, die nach dem Projektpartner sucht. Wir können für deutsche Firmen Support geben. Wir können Fernwartung ...

Microsoft Office
Welcher Rechner hat welches Office installiert?
gelöst PeterF2019Vor 1 TagFrageMicrosoft Office6 Kommentare

Hei, ich habe hier bei einem Kunden mehrere Rechner, alle mit Office H&B 2016. Die Zugangsdaten fuer MS (office.com) habe ich bekommen und sehe ...

Microsoft Office
Office-Angebote im Netz seriös?
pixel24Vor 1 TagFrageMicrosoft Office5 Kommentare

Hallo zusammen, wir benötigen hin und wieder ein MS-Office Paket was wir beim Händler beziehen. Gerade aktuell kostet es dort 113,59 8ohne MwSt.). Im ...

Server
Server Anbieter mit 2 NICs gesucht
gelöst SilvergreenVor 7 StundenFrageServer15 Kommentare

Hallo Community, ich bin auf der Suche nach einem Serveranbieter, der VPS/Cloud Server mit 2 Netzwerkkarten anbietet. Eine Internetsuche brache mich da leider nicht ...