steevee
Goto Top

Wie genau auf Hafnium exploit prüfen

Guten Tag,

Ich hatte den Patch KB5000871 am 3.3. installiert.
Exchange Server 2016 CU18.
Windows Server 2016

Ist das System jetzt damit gesichert?
Ist es egal wenn ich das CU19 noch installieren möchte, ich habe es mal sein gelassen da ich nicht weiss wie das Benehmen sein wird wenn der CU19 nach dem Patch installiere.

Ich habe das System mit Test-ProxyLogon.ps1 getestet und damit wurde nichts gefunden.
Gibt es noch andere Scripts zum testen ob etwas vorhanden ist?

Sorry, viele Fragen.

BG
Steve

Content-ID: 660618

Url: https://administrator.de/contentid/660618

Ausgedruckt am: 22.11.2024 um 20:11 Uhr

samrein
Lösung samrein 09.03.2021 um 11:07:52 Uhr
Goto Top
Moin Steevee,

ja gibt es...

docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download

Hab ich auch noch zusätzlich laufen lassen...

Grüße
Stefan
Steevee
Steevee 09.03.2021 um 11:21:30 Uhr
Goto Top
Hallo Stefan,

Diese sind aber schon älter als der Exploit.
Haben Die was bei Dir gefunden

BG
Steve
VGem-e
VGem-e 09.03.2021 aktualisiert um 13:50:52 Uhr
Goto Top
Servus,

@Steevee:

aus dem o.g. MS-Link mal als Zitat
...Safety Scanner only scans when manually triggered and is available for use 10 days after being downloaded. We recommend that you always download the latest version of this tool before each scan....

Heißt für mich, das Teil ist analog eines AV-Standalone-Scanners, der regelmäßig von MS aktualisiert wird!

Gruß
samrein
Lösung samrein 09.03.2021 um 12:18:35 Uhr
Goto Top
das wird regelmäßig aktualisert....
AlphaundOmega
AlphaundOmega 10.03.2021 aktualisiert um 14:54:21 Uhr
Goto Top
Die Test-Proxylogon.ps1 wurde bereits genannt, ebenso das MSERT Tool. Ich habe nach noch diverse Powershell Scripte aufgetan die nach Hafnium Webshells fahnden, leider fehlt mir gerade die Zeit diese nochmal rauszusuchen und zu verlinken, evtl. komm ich nachher dazu, was ich aber gerade noch an der Hand habe ist Thor Lite...

Thor Lite hat bereits aktuelle Yara sets integriert die nach Spuren von Hafnium suchen:

https://www.nextron-systems.com/2021/03/06/scan-for-hafnium-exploitation ...