19
Kann ein Verschlüsselungstrojaner auf MacClient den Win-Server befallen?
Guten Tag,
uns hat es leider mit einem Verschlüsselungstrojaner erwischt. Woher er genau kommt, wissen wir nicht. Zur Fehlereingrenzung hätte ich ein paar grundlegende Fragen.
Wir haben einen Windows Server (2012) mit Exchange der als Mail- und Fileserver fungiert.
Die Clients (fünf Stück) sind allesamt iMacs. Genutzt wird das Standard Apple Mail Programm. Die Mailkonten sind per Exchange eingebunden. Der Filezugriff erfolgt per SMB meine ich.
Ein einziger MacBook kann noch per VPN (Tunnelblick) auf den Server zugreifen.
Ansonsten werden iPhones benutzt, die aber keinen Filezugriff haben - nur E-Mail.
MS Office benutzen wir inzwischen nicht mehr, sondern die Apple eigenen Programme (Numbers, Pages) und Ragtime. Aber bei unserem MS Office bei Apple waren Makros auch ausgeschaltet.
Also alles sehr simpel eigentlich.
Befallen sind keine Clients, nur der Windowsserver.
Was ausgeschlossen werden kann ist, dass jemand einen USB Stick oder so an einen Rechner oder gar den Server gesteckt hat.
Uns wurde nun gesagt, dass vermutlich einer der Mitarbeiter auf eine verseuchte PDF (z.B. aus einer vermeintlichen Bewerbung) oder ähnliches geklickt hat, welche dann den Trojaner aktiviert hat.
Nun meine Fragen:
1) Kann das Öffnen einer verseuchten PDF auf dem Mac-Client in dem E-Mail Programm tatsächlich auf dem Windows-Fileserver Schaden anrichten? Ich habe doch die Mail sozusagen als "Kopie" und mein Client öffnet die. Zumal ich davon ausging, dass ein "Windowstrojaner" gar nicht auf dem Mac ausgeführt werden kann.
2) Falls doch, das Standard Mailprogramme von Apple zeigt Anhänge (jpg, pdf) oft als Vorschau direkt im Mailfenster an, bzw. ist bei Apple ja eine praktische Schnellvorschaufunktion mit der Leertaste möglich. Wird dann ein dort befindlicher Virus/Trojaner automatisch ausgeführt?
3) Nehmen wir an ich nehme einen Windows Trojaner z.B. als .exe - Datei. Wenn ich diese auf dem Mac öffnen will, kann der Mac gar damit erstmal gar nichts anfangen. Kann der Virus dort dann überhaupt "aktiv" werden und z.B. nach "Windows"-Ordnern (in unserem Fall der SMB Zugriff auf den Fileserver) suchen und sich dort Hinschleusen?
Tut mir leid, wenn die Fragen "blöd" erscheinen, aber ich konnte per Google Suche keinen ähnlichen Fall
Hättet Ihr noch eine Idee, wie wir die Fehlersuche eingrenzen könnten?
uns hat es leider mit einem Verschlüsselungstrojaner erwischt. Woher er genau kommt, wissen wir nicht. Zur Fehlereingrenzung hätte ich ein paar grundlegende Fragen.
Wir haben einen Windows Server (2012) mit Exchange der als Mail- und Fileserver fungiert.
Die Clients (fünf Stück) sind allesamt iMacs. Genutzt wird das Standard Apple Mail Programm. Die Mailkonten sind per Exchange eingebunden. Der Filezugriff erfolgt per SMB meine ich.
Ein einziger MacBook kann noch per VPN (Tunnelblick) auf den Server zugreifen.
Ansonsten werden iPhones benutzt, die aber keinen Filezugriff haben - nur E-Mail.
MS Office benutzen wir inzwischen nicht mehr, sondern die Apple eigenen Programme (Numbers, Pages) und Ragtime. Aber bei unserem MS Office bei Apple waren Makros auch ausgeschaltet.
Also alles sehr simpel eigentlich.
Befallen sind keine Clients, nur der Windowsserver.
Was ausgeschlossen werden kann ist, dass jemand einen USB Stick oder so an einen Rechner oder gar den Server gesteckt hat.
Uns wurde nun gesagt, dass vermutlich einer der Mitarbeiter auf eine verseuchte PDF (z.B. aus einer vermeintlichen Bewerbung) oder ähnliches geklickt hat, welche dann den Trojaner aktiviert hat.
Nun meine Fragen:
1) Kann das Öffnen einer verseuchten PDF auf dem Mac-Client in dem E-Mail Programm tatsächlich auf dem Windows-Fileserver Schaden anrichten? Ich habe doch die Mail sozusagen als "Kopie" und mein Client öffnet die. Zumal ich davon ausging, dass ein "Windowstrojaner" gar nicht auf dem Mac ausgeführt werden kann.
2) Falls doch, das Standard Mailprogramme von Apple zeigt Anhänge (jpg, pdf) oft als Vorschau direkt im Mailfenster an, bzw. ist bei Apple ja eine praktische Schnellvorschaufunktion mit der Leertaste möglich. Wird dann ein dort befindlicher Virus/Trojaner automatisch ausgeführt?
3) Nehmen wir an ich nehme einen Windows Trojaner z.B. als .exe - Datei. Wenn ich diese auf dem Mac öffnen will, kann der Mac gar damit erstmal gar nichts anfangen. Kann der Virus dort dann überhaupt "aktiv" werden und z.B. nach "Windows"-Ordnern (in unserem Fall der SMB Zugriff auf den Fileserver) suchen und sich dort Hinschleusen?
Tut mir leid, wenn die Fragen "blöd" erscheinen, aber ich konnte per Google Suche keinen ähnlichen Fall
Hättet Ihr noch eine Idee, wie wir die Fehlersuche eingrenzen könnten?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 23463926890
Url: https://administrator.de/contentid/23463926890
Printed on: April 28, 2024 at 10:04 o'clock
19 Comments
Latest comment
Mahlzeit:
Mist !
Server 2012 ist schon länger aus dem offiziellen Support seitens Microsoft.
Ist der Exchange Server aktuell?
Warum wird die Maschine als Fileserver verwendet? Das sollte man auf jeden Fall ändern.
Was macht dich / euch da so sicher? Welche AV Software kommt zum Einsatz?
Sind die Server auf Blech oder virtuell?
Was sagen Logdateien der Server, der Clients, der Firewall? Gibt es einen Syslog Server?
Wie sieht denn die Disaster Recovery Strategie bzw. die Belastbarkeit derselbigen aus?
Was wurde bisher unternommen?
Gruß
Marc
Mist !
Wir haben einen Windows Server (2012) mit Exchange der als Mail- und Fileserver fungiert.
Server 2012 ist schon länger aus dem offiziellen Support seitens Microsoft.
Ist der Exchange Server aktuell?
Warum wird die Maschine als Fileserver verwendet? Das sollte man auf jeden Fall ändern.
Befallen sind keine Clients, nur der Windowsserver.
Was macht dich / euch da so sicher? Welche AV Software kommt zum Einsatz?
Sind die Server auf Blech oder virtuell?
Hättet Ihr noch eine Idee, wie wir die Fehlersuche eingrenzen könnten?
Was sagen Logdateien der Server, der Clients, der Firewall? Gibt es einen Syslog Server?
Wie sieht denn die Disaster Recovery Strategie bzw. die Belastbarkeit derselbigen aus?
Was wurde bisher unternommen?
Gruß
Marc
Zitat von @radiogugu:
Mahlzeit:
Mist !
Server 2012 ist schon länger aus dem offiziellen Support seitens Microsoft.
Ist der Exchange Server aktuell?
Mahlzeit:
Mist !
Wir haben einen Windows Server (2012) mit Exchange der als Mail- und Fileserver fungiert.
Server 2012 ist schon länger aus dem offiziellen Support seitens Microsoft.
Ist der Exchange Server aktuell?
Die genaue Version kann ich Dir nicht sagen, aber zumindest wurde uns gesagt, dass die Sicherheitsupdates Ende letzten Jahres auslaufen. Genau aus dem dir genannten Grund hatten wir letztes Jahr entschieden den Server zu entsorgen, aber keinen neuen Anzuschaffen, sondern auf eine NAS zu wechseln - da unser Anspruch sehr minimal ist.
Warum wird die Maschine als Fileserver verwendet? Das sollte man auf jeden Fall ändern.
Tut mir leid, die Frage verstehe ich nicht ganz. Die Maschine (Server) ist doch dafür da, oder?
Befallen sind keine Clients, nur der Windowsserver.
Was macht dich / euch da so sicher? Welche AV Software kommt zum Einsatz?
Tatsächlich kann ich dir das nicht mit Sicherheit sagen, die Vermutung hatte ich nur deswegen, weil die Clients alle wie gewohnt sauber funktionieren. Aber du hast Recht, wenn es einen MacTrojaner gibt, der auf dem Mac unerkannt bleibt und nur Windowssysteme befällt, dann könnte das natürlich sein. Auf den Clients läuft keine AV (nur die Apple eigene), auf dem Server läuft eine, welche kann ich Dir nicht sagen.
Ich werde am Montag mal Malwarebytes und ähnliches rüberlaufen lassen.
Sind die Server auf Blech oder virtuell?
Es ist ein Blech Server. Auf diesem laufen vier virtuelle Maschinen - aber ich kann dir nicht genau sagen, welche virtuelle Maschine welche Aufgabe erfüllt. Ich weiß nur, dass einer der VM's nicht aktiv ist.
Hättet Ihr noch eine Idee, wie wir die Fehlersuche eingrenzen könnten?
Was sagen Logdateien der Server, der Clients, der Firewall? Gibt es einen Syslog Server?
Das weiß ich nicht, aber werde es hinterfragen.
Wie sieht denn die Disaster Recovery Strategie bzw. die Belastbarkeit derselbigen aus?
Was wurde bisher unternommen?
Die IT wollte zuerst ein Backup von vorgestern aufspielen (damit hätten wir leben können, da wir nicht viel reproduzieren müssten). Dabei scheint diese aber festgestellt zu haben, dass der Trojaner wohl schon am Dienstag aktiv war. Mehr weiß ich nicht.
Aber selbst wenn wir ein Backup von letzter Woche nehmen müssen, wäre das nicht weiter problematisch.
Es ist vor allem wichtig, herauszufinden woher der kleine Mistkerl stammt, daher wollte ich versuchen gewisse Dinge auszuschließen um die Fehlersuche einzugrenzen. Daher auch meine Frage, ob wir vom Mac aus überhaupt Trojaner auf dem Windowsserver "aktivieren" können.
Wenn tatsächlich die automatische Vorschau von AppleMail, Viren/Trojaner aktivieren kann, dann müssten wir ja umgehend die Nutzung davon einstellen. Denn diese automatische Vorschau kann man in diesem Mailprogramme nicht abschalten.
Gruß
Marc
Warum wird die Maschine als Fileserver verwendet? Das sollte man auf jeden Fall ändern.
Tut mir leid, die Frage verstehe ich nicht ganz. Die Maschine (Server) ist doch dafür da, oder?
Kurz: Nein. Domain Controller und Exchange Server sollten die inherenten Rollen (DC: AD, DNS, evtl. DHCP / EX: Exchange) einnehmen und sonst nichts anderes erledigen müssen.
Was genau ist deine Rolle in dem Ganzen?
Wenn du schreibst, dass eure IT da dran ist, dann sind die Mädels und Jungs ja die ersten Ansprechpartner für obige Fragen und die müssen nun die richtigen Entscheidungen treffen und Maßnahmen ergreifen.
Wenn tatsächlich die automatische Vorschau von AppleMail, Viren/Trojaner aktivieren kann, dann müssten wir ja umgehend die Nutzung davon einstellen. Denn diese automatische Vorschau kann man in diesem Mailprogramme nicht abschalten.
Was man unter Outlook geschafft hat, wird man unter Apple Mail bestimmt auch schaffen.
Hier muss für die Zukunft mehr Zero-Trust her. Keine E-Mails mehr mit Anhängen durch das Mailgateway lassen und von Fall zu Fall im Mehr-Augen-Prinzip entscheiden.
Gruß
Marc
Zitat von @radiogugu:
Kurz: Nein. Domain Controller und Exchange Server sollten die inherenten Rollen (DC: AD, DNS, evtl. DHCP / EX: Exchange) einnehmen und sonst nichts anderes erledigen müssen.
Was genau ist deine Rolle in dem Ganzen?
Wenn du schreibst, dass eure IT da dran ist, dann sind die Mädels und Jungs ja die ersten Ansprechpartner für obige Fragen und die müssen nun die richtigen Entscheidungen treffen und Maßnahmen ergreifen.
Warum wird die Maschine als Fileserver verwendet? Das sollte man auf jeden Fall ändern.
Tut mir leid, die Frage verstehe ich nicht ganz. Die Maschine (Server) ist doch dafür da, oder?
Kurz: Nein. Domain Controller und Exchange Server sollten die inherenten Rollen (DC: AD, DNS, evtl. DHCP / EX: Exchange) einnehmen und sonst nichts anderes erledigen müssen.
Was genau ist deine Rolle in dem Ganzen?
Wenn du schreibst, dass eure IT da dran ist, dann sind die Mädels und Jungs ja die ersten Ansprechpartner für obige Fragen und die müssen nun die richtigen Entscheidungen treffen und Maßnahmen ergreifen.
Ich bin Teilinhaber des Ladens aber vor allem Neugierig, da mich IT schon immer sehr interessiert hat - natürlich kam ich nie zu so einem tiefen Wissen, aber zum Einrichten von LAN-Party Netzwerken hat es in meiner Jugend gereicht
.Ich habe großes Vertrauen in unsere IT, den Beitrag habe ich nicht wegen Misstrauen geschrieben, sondern weil es mich interessiert.
Aber da es auch ein sehr spezielles Thema ist, wollte ich das Schwarmwissen nutzen. Denn ich gehe mal davon aus, dass IT'ler auch Ihre Stärken und Schwächen haben und nicht jeder ein Experte im Bereich Trojaner/Viren ist und auch nicht im Bereich "Interaktion Mac/Windows". Und unsere IT'ler sind mehr in der Windowswelt unterwegs.
Wenn tatsächlich die automatische Vorschau von AppleMail, Viren/Trojaner aktivieren kann, dann müssten wir ja umgehend die Nutzung davon einstellen. Denn diese automatische Vorschau kann man in diesem Mailprogramme nicht abschalten.
Was man unter Outlook geschafft hat, wird man unter Apple Mail bestimmt auch schaffen.
Danke für den Hinweis, dass wusste ich noch nicht. Aber dann sollte wir schnell Abstand nehmen von AppleMail?
Hier muss für die Zukunft mehr Zero-Trust her. Keine E-Mails mehr mit Anhängen durch das Mailgateway lassen und von Fall zu Fall im Mehr-Augen-Prinzip entscheiden.
Wie kann ich mir das Vorstellen? Für Mailanhänge bekommt man nur noch einen Hinweis und der Nutzer muss diese Anlagen explizit anfordern?
Gruß
Marc
Zitat von @dafigero:
Wir haben einen Windows Server (2012) mit Exchange der als Mail- und Fileserver fungiert.
Wir haben einen Windows Server (2012) mit Exchange der als Mail- und Fileserver fungiert.
Fehler gefunden!
Moin,
Wenn Du einen "alten" Server und und ein "altes" Exchange hast, kann man den schon mit einer präparierten Mail übernehmen. Da brauchst Du gar keinen Client, der Mails öffnet. Das passiert sogar bei aktuellen schlecht gewarteten Servern. Welche Exhange-Version ist denn da drauf?
lks
PS: Critical vulnerabilities in Exchange servers
BSI warnt: Kritische Schwachstellen in Exchange-Servern
Und das ist schon "alt".
Zitat von @Lochkartenstanzer:
Fehler gefunden!
Moin,
Wenn Du einen "alten" Server und und ein altes Exchange hast, kann man den schon mit einer präparierten Mail übernehmen. Da brauchst Du gar keinen Client, der Mails öffnet. Welche Exhange-Version ist denn da drauf?
lkslks
Zitat von @dafigero:
Wir haben einen Windows Server (2012) mit Exchange der als Mail- und Fileserver fungiert.
Wir haben einen Windows Server (2012) mit Exchange der als Mail- und Fileserver fungiert.
Fehler gefunden!
Moin,
Wenn Du einen "alten" Server und und ein altes Exchange hast, kann man den schon mit einer präparierten Mail übernehmen. Da brauchst Du gar keinen Client, der Mails öffnet. Welche Exhange-Version ist denn da drauf?
lkslks
Mal angenommen, alle vorhandenen Sicherheitsupdates wurden installiert:
Die Sicherheitsupdates haben Ende letzten Jahres aufgehört. Heißt das quasi, dass in diesem Zeitraum eventuell ein neuer Trojaner entwickelt wurde, der eine noch nicht entdeckte Sicherheitslücke ausnutzt?
Danke für den Hinweis, dass dies auch "Clientfrei" passieren konnte.
Exchange Version weiß ich nicht. Das werde ich die IT Fragen.
Aber was mich beunruhigt:
Auf dem iPhone ist die Anhangvorschau ja auch automatisch da. Dann könnte ja ein Client rein gar nichts dagegen tun, selbst bei vorbildlichem Verhalten. Muss hier also auch ein alternatives Mailprogramme verwendet werden?
Zitat von @dafigero:
Ich habe großes Vertrauen in unsere IT, den Beitrag habe ich nicht wegen Misstrauen geschrieben, sondern weil es mich interessiert.
Ich habe großes Vertrauen in unsere IT, den Beitrag habe ich nicht wegen Misstrauen geschrieben, sondern weil es mich interessiert.
Vertrauen ist immer gut.
Aber da es auch ein sehr spezielles Thema ist, wollte ich das Schwarmwissen nutzen. Denn ich gehe mal davon aus, dass IT'ler auch Ihre Stärken und Schwächen haben und nicht jeder ein Experte im Bereich Trojaner/Viren ist und auch nicht im Bereich "Interaktion Mac/Windows". Und unsere IT'ler sind mehr in der Windowswelt unterwegs.
Ist zutreffend. Dafür gibt es dann Spezialisten bei Systemhäusern.
Wenn tatsächlich die automatische Vorschau von AppleMail, Viren/Trojaner aktivieren kann, dann müssten wir ja umgehend die Nutzung davon einstellen. Denn diese automatische Vorschau kann man in diesem Mailprogramme nicht abschalten.
Was man unter Outlook geschafft hat, wird man unter Apple Mail bestimmt auch schaffen.
Danke für den Hinweis, dass wusste ich noch nicht. Aber dann sollte wir schnell Abstand nehmen von AppleMail?
Das kann man nicht pauschal sagen. Nahezu jede Software hat Schwachstellen. Aber man kann diese nicht einfach austauschen. Manche wegen Funktionalität, viele wegen potentiellem Komfortverlust.
Hier muss für die Zukunft mehr Zero-Trust her. Keine E-Mails mehr mit Anhängen durch das Mailgateway lassen und von Fall zu Fall im Mehr-Augen-Prinzip entscheiden.
Wie kann ich mir das Vorstellen? Für Mailanhänge bekommt man nur noch einen Hinweis und der Nutzer muss diese Anlagen explizit anfordern?
Ein Mailgateway hält eine für gefährlich gehaltene Nachricht "fest" und schiebt diese in die Quarantäne. Der/die Benutzende wird mittels E-Mail benachrichtigt, dass etwas in der Quarantäne liegt.
Abhängig vom eingesetzten Produk, können Admins freischalten, dass Benutzer*innen die Quarantäne selber "leeren" können (entweder Nachrichten löschen, doch zustellen oder den Absender auf eine "Erlaubt-Liste" setzen).
Wir haben bei Kunden und im eigenen RZ das Mailgateway von Proxmox mit SLA implementiert und waren durchaus zufrieden.
Es gibt teurere Lösungen, welche Zugriff auf mehr und eventuell besser gepflegte Listen zur Identifikation von "Mail-Müll" mitbringen.
Soetwas bringt natürlich manchmal Falsch-Positive-Meldungen mit sich. Wie jedes gute Sicherheitssystem muss es ständig angepasst und mit neuen Infos gefüttert werden.
Prinzipiell kann man so ein Mailgateway kostenneutral in einer DMZ bei sich in einer VM einrichten, um es zu testen.
Gruß
Marc
Zitat von @dafigero:
Mal angenommen, alle vorhandenen Sicherheitsupdates wurden installiert:
Die Sicherheitsupdates haben Ende letzten Jahres aufgehört. Heißt das quasi, dass in diesem Zeitraum eventuell ein neuer Trojaner entwickelt wurde, der eine noch nicht entdeckte Sicherheitslücke ausnutzt?
Zitat von @Lochkartenstanzer:
Fehler gefunden!
Moin,
Wenn Du einen "alten" Server und und ein altes Exchange hast, kann man den schon mit einer präparierten Mail übernehmen. Da brauchst Du gar keinen Client, der Mails öffnet. Welche Exhange-Version ist denn da drauf?
lkslks
Zitat von @dafigero:
Wir haben einen Windows Server (2012) mit Exchange der als Mail- und Fileserver fungiert.
Wir haben einen Windows Server (2012) mit Exchange der als Mail- und Fileserver fungiert.
Fehler gefunden!
Moin,
Wenn Du einen "alten" Server und und ein altes Exchange hast, kann man den schon mit einer präparierten Mail übernehmen. Da brauchst Du gar keinen Client, der Mails öffnet. Welche Exhange-Version ist denn da drauf?
lkslks
Mal angenommen, alle vorhandenen Sicherheitsupdates wurden installiert:
Die Sicherheitsupdates haben Ende letzten Jahres aufgehört. Heißt das quasi, dass in diesem Zeitraum eventuell ein neuer Trojaner entwickelt wurde, der eine noch nicht entdeckte Sicherheitslücke ausnutzt?
Welche Sicherheitsupdates für welches Produkt? Du meinst den 2012er Server? Was ist mit dem Exchange?
Natürlich ist es möglich, daß möglichdaß da noch unbekanne Busg drin sind. Die Blackhats sind sehr umtriebig.
Danke für den Hinweis, dass dies auch "Clientfrei" passieren konnte.
Exchange Version weiß ich nicht. Das werde ich die IT Fragen.
Aber was mich beunruhigt:
Auf dem iPhone ist die Anhangvorschau ja auch automatisch da. Dann könnte ja ein Client rein gar nichts dagegen tun, selbst bei vorbildlichem Verhalten. Muss hier also auch ein alternatives Mailprogramme verwendet werden?
Muß? Nein. Aber bessere filterung von Anhängen wäre nicht schlecht.
lks
Hallo,
was wurde denn verschlüsselt, nur Shares oder andere Teile die auf dem Server liegen. Wenn es nur die Shares sind dann spricht ja einiges dafür dass es von einem der Macs gekommen ist. Wenn andere Sachen verschlüsselt sind dann die nicht in den Shares liegen dann hat der Windows Server ein das Problem.
was wurde denn verschlüsselt, nur Shares oder andere Teile die auf dem Server liegen. Wenn es nur die Shares sind dann spricht ja einiges dafür dass es von einem der Macs gekommen ist. Wenn andere Sachen verschlüsselt sind dann die nicht in den Shares liegen dann hat der Windows Server ein das Problem.
Moin
Also greifen die iPhone auf das Webinterface des Exchange ohne VPN oder Vorauthorisierung zu.
Portweiterleitung 443 auf den Exchange und öffentliche DNS-Einträge.
Dann ist das mit hoher Wahrscheinlichkeit Euer Einfallstor.
Ältere Exchange-Server, Vermutlich nicht immer sofort die Exchange CUs installier (die kommen nicht über Windows Update), vieleicht wenig sichere Kennwörter und mit Pech noch einen Doof-Account (User:scan, Kennwort:scan).
Hilfreich wäre eine UTM Firewall mit Exchange-Security-Set (wenn es solche gibt) oder eine Exchange-WAF wie z.B. https://kuratoron.de/kes/.
Stefan
Zitat von @dafigero:
Wir haben einen Windows Server (2012) mit Exchange der als Mail- und Fileserver fungiert.
Ansonsten werden iPhones benutzt, die aber keinen Filezugriff haben - nur E-Mail.
Wir haben einen Windows Server (2012) mit Exchange der als Mail- und Fileserver fungiert.
Ansonsten werden iPhones benutzt, die aber keinen Filezugriff haben - nur E-Mail.
Also greifen die iPhone auf das Webinterface des Exchange ohne VPN oder Vorauthorisierung zu.
Portweiterleitung 443 auf den Exchange und öffentliche DNS-Einträge.
Dann ist das mit hoher Wahrscheinlichkeit Euer Einfallstor.
Ältere Exchange-Server, Vermutlich nicht immer sofort die Exchange CUs installier (die kommen nicht über Windows Update), vieleicht wenig sichere Kennwörter und mit Pech noch einen Doof-Account (User:scan, Kennwort:scan).
Hilfreich wäre eine UTM Firewall mit Exchange-Security-Set (wenn es solche gibt) oder eine Exchange-WAF wie z.B. https://kuratoron.de/kes/.
Stefan
Moin...
es sollte eigentlich in der IT allgemein bekannt sein, das Server 2012 nicht sicher ist, das alte Exchange Server versionen (2010 oder 2012) eigentlich als gefährlich gelten, dazu kommt noch der März im Jahr 2021! noch heute sind davon befallene Systeme im einsatz!
alles kleine Zeitbomben!
dann auch noch kein Mailgateway und Anlagenfilterung zu haben, ist echt übel...
ich hoffe wenigstens das eure Handys nur über VPN mit dem Exchange verbunden sind!
ein ordentliches AV Programm auf dem Server hätte auch die Ransomware aufhalten können!
Aber da es auch ein sehr spezielles Thema ist, wollte ich das Schwarmwissen nutzen. Denn ich gehe mal davon aus, dass IT'ler auch Ihre Stärken und Schwächen haben und nicht jeder ein Experte im Bereich Trojaner/Viren ist und auch nicht im Bereich "Interaktion Mac/Windows". Und unsere IT'ler sind mehr in der Windowswelt unterwegs.
dann hätten deine ITler das wissen müssen!
es sei den, die GF wollte das nötige Geld dazu nicht aufbringen, das passiert ja auch häufiger!
nun, irgendein Mail Programm wird es immer geben müssen, und wenn es Online im Browser ist...
ein Mailgateway mit Anlagenfilterung wäre da die richtige wahl!
Gruß
Marc
Frank
Zitat von @dafigero:
Ich habe großes Vertrauen in unsere IT, den Beitrag habe ich nicht wegen Misstrauen geschrieben, sondern weil es mich interessiert.
nun, ernsthaftes vertrauen in deine IT Abteilung habe ich nicht, wenn ich das so lese...Ich habe großes Vertrauen in unsere IT, den Beitrag habe ich nicht wegen Misstrauen geschrieben, sondern weil es mich interessiert.
es sollte eigentlich in der IT allgemein bekannt sein, das Server 2012 nicht sicher ist, das alte Exchange Server versionen (2010 oder 2012) eigentlich als gefährlich gelten, dazu kommt noch der März im Jahr 2021! noch heute sind davon befallene Systeme im einsatz!
alles kleine Zeitbomben!
dann auch noch kein Mailgateway und Anlagenfilterung zu haben, ist echt übel...
ich hoffe wenigstens das eure Handys nur über VPN mit dem Exchange verbunden sind!
ein ordentliches AV Programm auf dem Server hätte auch die Ransomware aufhalten können!
Aber da es auch ein sehr spezielles Thema ist, wollte ich das Schwarmwissen nutzen. Denn ich gehe mal davon aus, dass IT'ler auch Ihre Stärken und Schwächen haben und nicht jeder ein Experte im Bereich Trojaner/Viren ist und auch nicht im Bereich "Interaktion Mac/Windows". Und unsere IT'ler sind mehr in der Windowswelt unterwegs.
es sei den, die GF wollte das nötige Geld dazu nicht aufbringen, das passiert ja auch häufiger!
Wenn tatsächlich die automatische Vorschau von AppleMail, Viren/Trojaner aktivieren kann, dann müssten wir ja umgehend die Nutzung davon einstellen. Denn diese automatische Vorschau kann man in diesem Mailprogramme nicht abschalten.
Wie kann ich mir das Vorstellen? Für Mailanhänge bekommt man nur noch einen Hinweis und der Nutzer muss diese Anlagen explizit anfordern?
nein... das wäre fatal.ein Mailgateway mit Anlagenfilterung wäre da die richtige wahl!
Gruß
Marc
Frank
1
Moin...
Stefan
Frank
Zitat von @StefanKittel:
Moin
Also greifen die iPhone auf das Webinterface des Exchange ohne VPN oder Vorauthorisierung zu.
Portweiterleitung 443 auf den Exchange und öffentliche DNS-Einträge.
Dann ist das mit hoher Wahrscheinlichkeit Euer Einfallstor.
Ältere Exchange-Server, Vermutlich nicht immer sofort die Exchange CUs installier (die kommen nicht über Windows Update), vieleicht wenig sichere Kennwörter und mit Pech noch einen Doof-Account (User:scan, Kennwort:scan).
Hilfreich wäre eine UTM Firewall mit Exchange-Security-Set (wenn es solche gibt) oder eine Exchange-WAF wie z.B. https://kuratoron.de/kes/.
die mögen ja gut sein, aber wer seine Preise nicht auf seiner Webseite anzeigen möchte, hat bei mir schon verloren!Moin
Zitat von @dafigero:
Wir haben einen Windows Server (2012) mit Exchange der als Mail- und Fileserver fungiert.
Ansonsten werden iPhones benutzt, die aber keinen Filezugriff haben - nur E-Mail.
Wir haben einen Windows Server (2012) mit Exchange der als Mail- und Fileserver fungiert.
Ansonsten werden iPhones benutzt, die aber keinen Filezugriff haben - nur E-Mail.
Also greifen die iPhone auf das Webinterface des Exchange ohne VPN oder Vorauthorisierung zu.
Portweiterleitung 443 auf den Exchange und öffentliche DNS-Einträge.
Dann ist das mit hoher Wahrscheinlichkeit Euer Einfallstor.
Ältere Exchange-Server, Vermutlich nicht immer sofort die Exchange CUs installier (die kommen nicht über Windows Update), vieleicht wenig sichere Kennwörter und mit Pech noch einen Doof-Account (User:scan, Kennwort:scan).
Hilfreich wäre eine UTM Firewall mit Exchange-Security-Set (wenn es solche gibt) oder eine Exchange-WAF wie z.B. https://kuratoron.de/kes/.
Stefan
1
Mit SIcherheit wird da einer der vielzähligen Exchange-Sicherheitslücken ( Angriff via Port 443, da bestimmt kein "VPN-Zugriff only"eingerichtet wurde) der Infektions-Weg sein.
VOn Mac zu WIndows, bzw überhaupt Mac-Viren sind nach wie vor extrem selten, da hab ich eher den uralten Exchange in Verdacht...Stichtwort Hafnium beginnend in 2021 und viele danach folgend...
VOn Mac zu WIndows, bzw überhaupt Mac-Viren sind nach wie vor extrem selten, da hab ich eher den uralten Exchange in Verdacht...Stichtwort Hafnium beginnend in 2021 und viele danach folgend...
Die Frage, welche ich mir Stelle: Ist das eine interne IT-Abteilung, oder habt ihr einen externen IT-Dienstleister?
Diese Information geht aus dem Beitrag nicht hervor. Auf jeden Fall ist ordentlich gepennt worden.
Gruss Penny.
Diese Information geht aus dem Beitrag nicht hervor. Auf jeden Fall ist ordentlich gepennt worden.
Gruss Penny.
Hallo,
Verloren nicht, aber sagen wir mal so: Ich finde es umständlich und eigentlich auch unklug.
Gerade bei so UTM Lösungen ist die Preisliste ja manchmal eine ziemliche Speisekarte und DEN Endpreis für alle gibt es nicht. Wenn der Anbieter meint das sei dem Kunden nicht zuzumuten, dann finde ich das einfach auch nur blöd.
Denn letztlich wenn ich wissen will was das Kostet kann ich mir ja ein Angebot erstellen lassen. Auf der anderen Seite hat der Anbieter dann schonmal Einblick in die Bude und einen direkten Kontakt zum Kunden.
Das ist ein Vorteil, und die die nix verstehen und das rein nach Preis entscheiden wollen, sind draußen und man kann sich die Arbeit sparen.
Hilfreich wäre eine UTM Firewall mit Exchange-Security-Set (wenn es solche gibt) oder eine Exchange-WAF wie z.B. https://kuratoron.de/kes/.
die mögen ja gut sein, aber wer seine Preise nicht auf seiner Webseite anzeigen möchte, hat bei mir schon verloren!Verloren nicht, aber sagen wir mal so: Ich finde es umständlich und eigentlich auch unklug.
Gerade bei so UTM Lösungen ist die Preisliste ja manchmal eine ziemliche Speisekarte und DEN Endpreis für alle gibt es nicht. Wenn der Anbieter meint das sei dem Kunden nicht zuzumuten, dann finde ich das einfach auch nur blöd.
Denn letztlich wenn ich wissen will was das Kostet kann ich mir ja ein Angebot erstellen lassen. Auf der anderen Seite hat der Anbieter dann schonmal Einblick in die Bude und einen direkten Kontakt zum Kunden.
Das ist ein Vorteil, und die die nix verstehen und das rein nach Preis entscheiden wollen, sind draußen und man kann sich die Arbeit sparen.
Moin...
Gerade bei so UTM Lösungen ist die Preisliste ja manchmal eine ziemliche Speisekarte und DEN Endpreis für alle gibt es nicht. Wenn der Anbieter meint das sei dem Kunden nicht zuzumuten, dann finde ich das einfach auch nur blöd.
nun, die speisekarte erlaubt mir aber einen überblick der Angebote, auch Preislich!
wer das nicht preisgeben wöchte, hat was zu verheimlichen!
Denn letztlich wenn ich wissen will was das Kostet kann ich mir ja ein Angebot erstellen lassen. Auf der anderen Seite hat der Anbieter dann schonmal Einblick in die Bude und einen direkten Kontakt zum Kunden.
natürlich kann sich jeder ein Angebot erstellen lassen, dann bekommst du Anrufe und führst Diskussionen, die keiner will.... und mit werbung wirst du dann auch zugemüllt!
Das ist ein Vorteil, und die die nix verstehen und das rein nach Preis entscheiden wollen, sind draußen und man kann sich die Arbeit sparen.
eben...
Frank
Zitat von @Snagless:
Hallo,
Verloren nicht, aber sagen wir mal so: Ich finde es umständlich und eigentlich auch unklug.
bei uns / mir haben die dann schon verloren!Hallo,
Hilfreich wäre eine UTM Firewall mit Exchange-Security-Set (wenn es solche gibt) oder eine Exchange-WAF wie z.B. https://kuratoron.de/kes/.
die mögen ja gut sein, aber wer seine Preise nicht auf seiner Webseite anzeigen möchte, hat bei mir schon verloren!Verloren nicht, aber sagen wir mal so: Ich finde es umständlich und eigentlich auch unklug.
Gerade bei so UTM Lösungen ist die Preisliste ja manchmal eine ziemliche Speisekarte und DEN Endpreis für alle gibt es nicht. Wenn der Anbieter meint das sei dem Kunden nicht zuzumuten, dann finde ich das einfach auch nur blöd.
wer das nicht preisgeben wöchte, hat was zu verheimlichen!
Denn letztlich wenn ich wissen will was das Kostet kann ich mir ja ein Angebot erstellen lassen. Auf der anderen Seite hat der Anbieter dann schonmal Einblick in die Bude und einen direkten Kontakt zum Kunden.
Das ist ein Vorteil, und die die nix verstehen und das rein nach Preis entscheiden wollen, sind draußen und man kann sich die Arbeit sparen.
Frank
Zitat von @Penny.Cilin:
Die Frage, welche ich mir Stelle: Ist das eine interne IT-Abteilung, oder habt ihr einen externen IT-Dienstleister?
Diese Information geht aus dem Beitrag nicht hervor. Auf jeden Fall ist ordentlich gepennt worden.
Gruss Penny.
Die Frage, welche ich mir Stelle: Ist das eine interne IT-Abteilung, oder habt ihr einen externen IT-Dienstleister?
Diese Information geht aus dem Beitrag nicht hervor. Auf jeden Fall ist ordentlich gepennt worden.
Gruss Penny.
Wir haben eine externe IT (diese besteht aber nur aus 1-Person). Wie Ihr euch vorstellen könnt, ist die Auslastung dort so hoch, dass nicht die Zeit dafür da ist, Stundenlang über das Thema zu reden (vor allem nicht mit mir als Laien).
Zitat von @Snagless:
Hallo,
was wurde denn verschlüsselt, nur Shares oder andere Teile die auf dem Server liegen. Wenn es nur die Shares sind dann spricht ja einiges dafür dass es von einem der Macs gekommen ist. Wenn andere Sachen verschlüsselt sind dann die nicht in den Shares liegen dann hat der Windows Server ein das Problem.
Hallo,
was wurde denn verschlüsselt, nur Shares oder andere Teile die auf dem Server liegen. Wenn es nur die Shares sind dann spricht ja einiges dafür dass es von einem der Macs gekommen ist. Wenn andere Sachen verschlüsselt sind dann die nicht in den Shares liegen dann hat der Windows Server ein das Problem.
Wahrscheinlich wird meine Antwort zu Laienhaft sein:
Mailserver und Fileserver wurden angegriffen. Diese laufen (so wie ich es verstanden habe) auf unterschiedlichen virtuellen Maschinen. Am Ende kam die IT per Remote zwar auf den Hauptserver, aber nicht mehr auf die virtuellen Maschinen.
Zitat von @StefanKittel:
Moin
Also greifen die iPhone auf das Webinterface des Exchange ohne VPN oder Vorauthorisierung zu.
Portweiterleitung 443 auf den Exchange und öffentliche DNS-Einträge.
Dann ist das mit hoher Wahrscheinlichkeit Euer Einfallstor.
Ältere Exchange-Server, Vermutlich nicht immer sofort die Exchange CUs installier (die kommen nicht über Windows Update), vieleicht wenig sichere Kennwörter und mit Pech noch einen Doof-Account (User:scan, Kennwort:scan).
Hilfreich wäre eine UTM Firewall mit Exchange-Security-Set (wenn es solche gibt) oder eine Exchange-WAF wie z.B. https://kuratoron.de/kes/.
Stefan
Moin
Zitat von @dafigero:
Wir haben einen Windows Server (2012) mit Exchange der als Mail- und Fileserver fungiert.
Ansonsten werden iPhones benutzt, die aber keinen Filezugriff haben - nur E-Mail.
Wir haben einen Windows Server (2012) mit Exchange der als Mail- und Fileserver fungiert.
Ansonsten werden iPhones benutzt, die aber keinen Filezugriff haben - nur E-Mail.
Also greifen die iPhone auf das Webinterface des Exchange ohne VPN oder Vorauthorisierung zu.
Portweiterleitung 443 auf den Exchange und öffentliche DNS-Einträge.
Dann ist das mit hoher Wahrscheinlichkeit Euer Einfallstor.
Ältere Exchange-Server, Vermutlich nicht immer sofort die Exchange CUs installier (die kommen nicht über Windows Update), vieleicht wenig sichere Kennwörter und mit Pech noch einen Doof-Account (User:scan, Kennwort:scan).
Hilfreich wäre eine UTM Firewall mit Exchange-Security-Set (wenn es solche gibt) oder eine Exchange-WAF wie z.B. https://kuratoron.de/kes/.
Stefan
Ja genau, die iPhones greifen einfach per Mail-Konto Hinzufügung auf die Mails zu. Ob auch die CUs immer installiert wurden, werde ich nachfragen, danke für den Hinweis!
Wir haben eine Securpoint UTM Firewall mit UMA in der Firma stehen.
Könntest Du das mit den iPhones noch mal für mich Laien beschreiben: Also warum ist diese Methode unsicher bzw. wie kam der Trojaner da rein?
War das einfach Zufall, dass der Trojaner bzw. sein "Herrchen" das Internet jede Adresse ausprobiert hat, bis er zufällig unseren Server gefunden hat? Oder war das etwas gezieltes, aufgrund unserer iPhones bzw. einem möglichen Virus in einer auf dem Handy geöffneten Mail?
Rein aus Interesse: Wenn der Mailserver das Problem sein sollte bzw. nur über VPN realisiert werden sollte (ich vermute, dass ist nicht günstig), wäre man dann deutlich sicherer, wenn man das Thema Mail in eine Office365 Lösung oder ähnliches packt, da diese Server wahrscheinlich deutlich besser abgesichert sind als unseres? Cloud-/Datenschutzdebatte außen vor gelassen.
Zitat von @Penny.Cilin:
Die Frage, welche ich mir Stelle: Ist das eine interne IT-Abteilung, oder habt ihr einen externen IT-Dienstleister?
Diese Information geht aus dem Beitrag nicht hervor. Auf jeden Fall ist ordentlich gepennt worden.
Gruss Penny.
Die Frage, welche ich mir Stelle: Ist das eine interne IT-Abteilung, oder habt ihr einen externen IT-Dienstleister?
Diese Information geht aus dem Beitrag nicht hervor. Auf jeden Fall ist ordentlich gepennt worden.
Gruss Penny.
Wir haben eine externe IT, welche aber nur aus 1-2 Mann besteht. Aber wie schon erwähnt, ich unterstelle denen nichts böses und will/werde auch nicht mit Keulen schwingen. Wir sind ja auch gerade dabei, das alte System abzuschalten und auf eine Synology zu wechseln.
Moin
Wenn der Exchange "nackt" ohne Pre-Authentification im Internet erreichbar ist, dann es nur eine Frage der Zeit (eher Stunden als Tage) nach der Installation bis unfreundliche Skripte vorbeikommen und sich das anschauen.
Man kann auslesen welche Exchange-Version installiert ist und stundenlang tausende Benutzernamen und Kennwörter ausprobieren. Vieleicht wurde ja mal ein Handy eines Benutzers gehackt, das Kennwort lange oder nie geändert und damit sind die drin. Dann vieleicht seit 2 Jahren keine Updates installiert und damit sind die ganz drin.
Du schreibst Windows 2012. Dazu gehört häufig der Exchange 2013. Beides sind seit letztem Jahr end of life und es gibt keine Sicherheitsupdates mehr.
Eine Firewall von Securepoint bringt da fast gar nichts.
Läuft der Exchange denn noch/wieder.
Wenn Du mir per PN seine URL/IP schickst, kann ich gerne mal einen kurzen Sicherheitsscan durchführen. Das ist kein hacken! Ich lese nur verschiedene öffentlich sichtbare Werte aus und fasse diese zusammen. Das Ergebnis wird nicht veröffentlicht.
Stefan
Zitat von @dafigero:
Ja genau, die iPhones greifen einfach per Mail-Konto Hinzufügung auf die Mails zu. Ob auch die CUs immer installiert wurden, werde ich nachfragen, danke für den Hinweis!
Wir haben eine Securpoint UTM Firewall mit UMA in der Firma stehen.
Könntest Du das mit den iPhones noch mal für mich Laien beschreiben: Also warum ist diese Methode unsicher bzw. wie kam der Trojaner da rein?
Ja genau, die iPhones greifen einfach per Mail-Konto Hinzufügung auf die Mails zu. Ob auch die CUs immer installiert wurden, werde ich nachfragen, danke für den Hinweis!
Wir haben eine Securpoint UTM Firewall mit UMA in der Firma stehen.
Könntest Du das mit den iPhones noch mal für mich Laien beschreiben: Also warum ist diese Methode unsicher bzw. wie kam der Trojaner da rein?
Wenn der Exchange "nackt" ohne Pre-Authentification im Internet erreichbar ist, dann es nur eine Frage der Zeit (eher Stunden als Tage) nach der Installation bis unfreundliche Skripte vorbeikommen und sich das anschauen.
Man kann auslesen welche Exchange-Version installiert ist und stundenlang tausende Benutzernamen und Kennwörter ausprobieren. Vieleicht wurde ja mal ein Handy eines Benutzers gehackt, das Kennwort lange oder nie geändert und damit sind die drin. Dann vieleicht seit 2 Jahren keine Updates installiert und damit sind die ganz drin.
Du schreibst Windows 2012. Dazu gehört häufig der Exchange 2013. Beides sind seit letztem Jahr end of life und es gibt keine Sicherheitsupdates mehr.
Eine Firewall von Securepoint bringt da fast gar nichts.
Läuft der Exchange denn noch/wieder.
Wenn Du mir per PN seine URL/IP schickst, kann ich gerne mal einen kurzen Sicherheitsscan durchführen. Das ist kein hacken! Ich lese nur verschiedene öffentlich sichtbare Werte aus und fasse diese zusammen. Das Ergebnis wird nicht veröffentlicht.
Stefan
Zitat von @StefanKittel:
Moin
Wenn der Exchange "nackt" ohne Pre-Authentification im Internet erreichbar ist, dann es nur eine Frage der Zeit (eher Stunden als Tage) nach der Installation bis unfreundliche Skripte vorbeikommen und sich das anschauen.
Man kann auslesen welche Exchange-Version installiert ist und stundenlang tausende Benutzernamen und Kennwörter ausprobieren. Vieleicht wurde ja mal ein Handy eines Benutzers gehackt, das Kennwort lange oder nie geändert und damit sind die drin. Dann vieleicht seit 2 Jahren keine Updates installiert und damit sind die ganz drin.
Du schreibst Windows 2012. Dazu gehört häufig der Exchange 2013. Beides sind seit letztem Jahr end of life und es gibt keine Sicherheitsupdates mehr.
Eine Firewall von Securepoint bringt da fast gar nichts.
Läuft der Exchange denn noch/wieder.
Wenn Du mir per PN seine URL/IP schickst, kann ich gerne mal einen kurzen Sicherheitsscan durchführen. Das ist kein hacken! Ich lese nur verschiedene öffentlich sichtbare Werte aus und fasse diese zusammen. Das Ergebnis wird nicht veröffentlicht.
Stefan
Moin
Zitat von @dafigero:
Ja genau, die iPhones greifen einfach per Mail-Konto Hinzufügung auf die Mails zu. Ob auch die CUs immer installiert wurden, werde ich nachfragen, danke für den Hinweis!
Wir haben eine Securpoint UTM Firewall mit UMA in der Firma stehen.
Könntest Du das mit den iPhones noch mal für mich Laien beschreiben: Also warum ist diese Methode unsicher bzw. wie kam der Trojaner da rein?
Ja genau, die iPhones greifen einfach per Mail-Konto Hinzufügung auf die Mails zu. Ob auch die CUs immer installiert wurden, werde ich nachfragen, danke für den Hinweis!
Wir haben eine Securpoint UTM Firewall mit UMA in der Firma stehen.
Könntest Du das mit den iPhones noch mal für mich Laien beschreiben: Also warum ist diese Methode unsicher bzw. wie kam der Trojaner da rein?
Wenn der Exchange "nackt" ohne Pre-Authentification im Internet erreichbar ist, dann es nur eine Frage der Zeit (eher Stunden als Tage) nach der Installation bis unfreundliche Skripte vorbeikommen und sich das anschauen.
Man kann auslesen welche Exchange-Version installiert ist und stundenlang tausende Benutzernamen und Kennwörter ausprobieren. Vieleicht wurde ja mal ein Handy eines Benutzers gehackt, das Kennwort lange oder nie geändert und damit sind die drin. Dann vieleicht seit 2 Jahren keine Updates installiert und damit sind die ganz drin.
Du schreibst Windows 2012. Dazu gehört häufig der Exchange 2013. Beides sind seit letztem Jahr end of life und es gibt keine Sicherheitsupdates mehr.
Eine Firewall von Securepoint bringt da fast gar nichts.
Läuft der Exchange denn noch/wieder.
Wenn Du mir per PN seine URL/IP schickst, kann ich gerne mal einen kurzen Sicherheitsscan durchführen. Das ist kein hacken! Ich lese nur verschiedene öffentlich sichtbare Werte aus und fasse diese zusammen. Das Ergebnis wird nicht veröffentlicht.
Stefan
Hast eine PN
