131941
Goto Top

Nachwirkungen Hafnium Exchange?

Hallo zusammen,

ein Kunde rief an, dass er 8 merkwürdige E-Mails in Entwürfe hätte.

Empfänger war er selbst und der Betreff war zufällig:
asdjksadjjk, bdjewudj, jurjfvjru

Inhalt der E-Mail:
hello darkness my old friend

Bei Microsoft gibt es auch schon was:
https://docs.microsoft.com/en-us/answers/questions/545608/unexpected-spa ...

Der MSERT läuft noch und hat schon 49 Infektionen gefunden.

Der Server war damals von Hafnium betroffen, wurde aber nicht neu installiert, sondern nur bereinigt.

Ich weiß nicht, ob das jetzt noch Nachwirkungen sind - keine Ahnung.

Ist auf jeden Fall ein Exchange 2016. CU 19.
CU21 wird im Anschluss installiert.

Auf dem Server läuft ESET, der hat auch jeden Tag um die 3-4 Dateien gelöscht.

Absolut gruselig...

Content-ID: 1366970914

Url: https://administrator.de/forum/nachwirkungen-hafnium-exchange-1366970914.html

Ausgedruckt am: 01.04.2025 um 19:04 Uhr

Ex0r2k16
Ex0r2k16 08.10.2021 um 14:24:44 Uhr
Goto Top
Die einzig gangbare Lösung bei bekannt kompromittierten Systemen war doch den Exchange neu Aufsetzen und die DBs neu anhängen dachte ich?

Wenn das nicht passiert ist, darf man sich über sowas nicht wundern.
mbehrens
mbehrens 08.10.2021 um 14:33:21 Uhr
Goto Top
Zitat von @131941:

ein Kunde rief an, dass er 8 merkwürdige E-Mails in Entwürfe hätte.

Der MSERT läuft noch und hat schon 49 Infektionen gefunden.

Der Server war damals von Hafnium betroffen, wurde aber nicht neu installiert, sondern nur bereinigt.

Ich weiß nicht, ob das jetzt noch Nachwirkungen sind - keine Ahnung.

Ist auf jeden Fall ein Exchange 2016. CU 19.
CU21 wird im Anschluss installiert.

Auf dem Server läuft ESET, der hat auch jeden Tag um die 3-4 Dateien gelöscht.

Die komplette IT umgehend stilllegen, Datenschutzbeauftragten wg. evtl. Meldepflicht kontaktieren und alles neu installieren.
131941
131941 08.10.2021 um 14:34:14 Uhr
Goto Top
Ja, mag sein, es ist auch vielmehr ein Hinweis, an alle, die den Exchange damals nicht auch neu aufgesetzt haben, den eigenen Exchange mal zu prüfen.
NixVerstehen
NixVerstehen 08.10.2021 um 14:38:01 Uhr
Goto Top
Servus,

zumindest die Herkunft des Inhaltes der Mail scheint klar:
Sound of silence - lyrics

Der Spitzbube scheint Fan von Simon & Garfunkel zu sein.

Gruß NV
131941
131941 08.10.2021 aktualisiert um 15:38:40 Uhr
Goto Top
Also, ist doch nicht Hafnium, sondern diese Lücke aus Mai...
CU19 war davon betroffen.

Dass solche gravierenden Lücken nicht einfach per Windows Updates gefixt werden...
Aber Hauptsache Windows 10 zeigt jetzt das Wetter an

Chaosverein Redmond
Mystery-at-min
Mystery-at-min 08.10.2021 um 15:45:21 Uhr
Goto Top
Da solltest du nicht zu sehr nach anderen Nasen greifen, wenn du damals nur bereinigt hast (was immer das heissen mag), als jeder gesagt hat: Installier neu, dann ist nicht Microsoft das Problem, zu dem, dass das System offensichtlich auch im Nachgang nicht geprüft wurde - wer weiss, wie lange vom System schon Daten abfliessen.

Wie es oben bereits hieß...DS Berater einschalten, Meldung eintüten, Neu aufbauen.
ArnoNymous
ArnoNymous 08.10.2021 aktualisiert um 16:19:49 Uhr
Goto Top
Also CU21 ist seit Ende Juni draußen und CU20 seit Mitte März. Da hätte man auch schonmal zur Installation kommen können. Man hat wohl nichts gelernt aus Hafnium? Schon da war CU20 dringend empfohlen. Ihr habt ein offenes System einfach offen gelassen und beklagt euch nun, dass MS ja so doof ist.
148656
148656 08.10.2021 um 17:57:09 Uhr
Goto Top
Na hoffentlich kennt der Kunde seine Rechte. Bzw erledigt der Anwalt seine Aufgaben besser, als der "Administrator".
face-big-smile
Lochkartenstanzer
Lochkartenstanzer 08.10.2021 aktualisiert um 18:36:22 Uhr
Goto Top
Zitat von @131941:

Inhalt der E-Mail:
hello darkness my old friend


Da mag jemand Simon & garfunkel. face-smile


Der Server war damals von Hafnium betroffen, wurde aber nicht neu installiert, sondern nur bereinigt.

Platt machen! Frisch machen! Auch wenn es weh tut.

lks
Lochkartenstanzer
Lochkartenstanzer 08.10.2021 um 18:37:18 Uhr
Goto Top
Zitat von @NixVerstehen:

Der Spitzbube scheint Fan von Simon & Garfunkel zu sein.

Oder der Neuinterpretation von Disturbed.

lks
nachgefragt
nachgefragt 08.10.2021 aktualisiert um 18:57:55 Uhr
Goto Top
Zitat von @131941:
CU21 wird im Anschluss installiert.
CU22 könnte auch nicht verkehrt sein.
https://support.microsoft.com/de-de/topic/kumulatives-update-22-f%C3%BCr ...

Ist aktuell eine CashCow bei allen Kunden,.
Mystery-at-min
Mystery-at-min 08.10.2021 um 20:29:50 Uhr
Goto Top
Ich befürchte das war User bytedreher zu ehrlich?
148656
148656 08.10.2021 um 21:10:36 Uhr
Goto Top
Zitat von @Mystery-at-min:

Ich befürchte das war User bytedreher zu ehrlich?

Gut möglich.
Aber, er hätte wenigstens den Thread schliessen können. Naja, er war wohl doch nur ein Faulpelz.