Wie genau auf Hafnium exploit prüfen
Guten Tag,
Ich hatte den Patch KB5000871 am 3.3. installiert.
Exchange Server 2016 CU18.
Windows Server 2016
Ist das System jetzt damit gesichert?
Ist es egal wenn ich das CU19 noch installieren möchte, ich habe es mal sein gelassen da ich nicht weiss wie das Benehmen sein wird wenn der CU19 nach dem Patch installiere.
Ich habe das System mit Test-ProxyLogon.ps1 getestet und damit wurde nichts gefunden.
Gibt es noch andere Scripts zum testen ob etwas vorhanden ist?
Sorry, viele Fragen.
BG
Steve
Ich hatte den Patch KB5000871 am 3.3. installiert.
Exchange Server 2016 CU18.
Windows Server 2016
Ist das System jetzt damit gesichert?
Ist es egal wenn ich das CU19 noch installieren möchte, ich habe es mal sein gelassen da ich nicht weiss wie das Benehmen sein wird wenn der CU19 nach dem Patch installiere.
Ich habe das System mit Test-ProxyLogon.ps1 getestet und damit wurde nichts gefunden.
Gibt es noch andere Scripts zum testen ob etwas vorhanden ist?
Sorry, viele Fragen.
BG
Steve
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 660618
Url: https://administrator.de/contentid/660618
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
5 Kommentare
Neuester Kommentar
Moin Steevee,
ja gibt es...
docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download
Hab ich auch noch zusätzlich laufen lassen...
Grüße
Stefan
ja gibt es...
docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download
Hab ich auch noch zusätzlich laufen lassen...
Grüße
Stefan
Servus,
@Steevee:
aus dem o.g. MS-Link mal als Zitat
...Safety Scanner only scans when manually triggered and is available for use 10 days after being downloaded. We recommend that you always download the latest version of this tool before each scan....
Heißt für mich, das Teil ist analog eines AV-Standalone-Scanners, der regelmäßig von MS aktualisiert wird!
Gruß
@Steevee:
aus dem o.g. MS-Link mal als Zitat
...Safety Scanner only scans when manually triggered and is available for use 10 days after being downloaded. We recommend that you always download the latest version of this tool before each scan....
Heißt für mich, das Teil ist analog eines AV-Standalone-Scanners, der regelmäßig von MS aktualisiert wird!
Gruß
Die Test-Proxylogon.ps1 wurde bereits genannt, ebenso das MSERT Tool. Ich habe nach noch diverse Powershell Scripte aufgetan die nach Hafnium Webshells fahnden, leider fehlt mir gerade die Zeit diese nochmal rauszusuchen und zu verlinken, evtl. komm ich nachher dazu, was ich aber gerade noch an der Hand habe ist Thor Lite...
Thor Lite hat bereits aktuelle Yara sets integriert die nach Spuren von Hafnium suchen:
https://www.nextron-systems.com/2021/03/06/scan-for-hafnium-exploitation ...
Thor Lite hat bereits aktuelle Yara sets integriert die nach Spuren von Hafnium suchen:
https://www.nextron-systems.com/2021/03/06/scan-for-hafnium-exploitation ...