Wie grundsätzlich verfahren mit Exchange Zero-Day-Exploit?
Hallo,
ich habe auf einem Server mit den Tool von Microsoft Zugriffsversuche am 26. und 27.02.21 gefunden.
Das führt mich zu der Vermutung, dass das Exploit schon vor dem Update ausgenutzt wurde.
Klingt logisch, sonst könnte es ja kein Zero-Day-Exploit sein.
Das wiederrum führt zu der Annahme, dass jeder Exchange-Server betroffen sein könnte.
Selbst wenn man nichts findet.
Gehen wir von einem Geheimdienst aus, könnte es sein, dass die etwas installiert haben was man nicht finden kann.
Das wiederrum führt zu der Konsequenz, dass jeder Exchange-Server auf diesem Planeten neu installiert oder aus der Datensicherung wiederhergestellt werden müsste.
Wenn selbst Leute mit Firewall und Reverse-Proxy von Infektionen berichten, führt das wiederrum zu der Konsequenz, dass man so einen Server nur mit VPN betreibten kann.
Was die Nutzer garantiert nicht akzeptieren werden.
Also was tun?
Firewall + Reverse-Proxy = Hilft nicht (oder nur wenig)
IP Geo-Location = Nord VPN kostet nur ein paar Euro
RDP Guard - Hilft nur gegen Brute-Force
Stefan
ich habe auf einem Server mit den Tool von Microsoft Zugriffsversuche am 26. und 27.02.21 gefunden.
Das führt mich zu der Vermutung, dass das Exploit schon vor dem Update ausgenutzt wurde.
Klingt logisch, sonst könnte es ja kein Zero-Day-Exploit sein.
Das wiederrum führt zu der Annahme, dass jeder Exchange-Server betroffen sein könnte.
Selbst wenn man nichts findet.
Gehen wir von einem Geheimdienst aus, könnte es sein, dass die etwas installiert haben was man nicht finden kann.
Das wiederrum führt zu der Konsequenz, dass jeder Exchange-Server auf diesem Planeten neu installiert oder aus der Datensicherung wiederhergestellt werden müsste.
Wenn selbst Leute mit Firewall und Reverse-Proxy von Infektionen berichten, führt das wiederrum zu der Konsequenz, dass man so einen Server nur mit VPN betreibten kann.
Was die Nutzer garantiert nicht akzeptieren werden.
Also was tun?
Firewall + Reverse-Proxy = Hilft nicht (oder nur wenig)
IP Geo-Location = Nord VPN kostet nur ein paar Euro
RDP Guard - Hilft nur gegen Brute-Force
Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 660344
Url: https://administrator.de/contentid/660344
Ausgedruckt am: 04.11.2024 um 18:11 Uhr
15 Kommentare
Neuester Kommentar
Guten Morgen,
wir fahren mit dem Ansatz Outlook und OWA nur über VPN seit Jahren ganz gut. Allerdings kennen unsere Anwender das auch nicht anders, wenn das einmal frei verfügbar war, dann hat man natürlich Diskussionsbedarf.
Bei uns werden wir dabei von der GF sehr unterstützt, solche Vorfälle sind dann natürlich die Bestätigung für dieses Konzept.
ActiveSync ist bei uns über einen Reverse-Proxy als einziges freigegeben, hier überlege ich jetzt, über wir das über MobileIron Sentry noch weiter absichern.
Viele Grüße
wir fahren mit dem Ansatz Outlook und OWA nur über VPN seit Jahren ganz gut. Allerdings kennen unsere Anwender das auch nicht anders, wenn das einmal frei verfügbar war, dann hat man natürlich Diskussionsbedarf.
Bei uns werden wir dabei von der GF sehr unterstützt, solche Vorfälle sind dann natürlich die Bestätigung für dieses Konzept.
ActiveSync ist bei uns über einen Reverse-Proxy als einziges freigegeben, hier überlege ich jetzt, über wir das über MobileIron Sentry noch weiter absichern.
Viele Grüße
Hallo Kollegen,
ich drücke allen Admins hier die Daumen, dass Sie "heil" und mit möglichst wenig Aufwand aus der Sache herauskommen, was für eine fürchterliche Sache!
Meinen 2016er on premise mit CU18 habe ich direkt am Freitag gepatcht und das ganze Wochenende über beobachtet und ausgewertet, was so passiert. Für mein Dafürhalten sind wir nicht betroffen, es konnte keine Einzige der bis jetzt beobachteten Angriffsspuren gefunden werden. Ein ungutes Gefühl bleibt aber trotzdem, denn die Ausführungen von StefanKittel sind vom Grundgedanken her schon richtig.
Was mir bis jetzt aus den ganzen Artikeln und Blogs noch nicht ganz klar geworden ist: Lässt sich der aktuelle Exploit nur ausnutzen wenn /OWA im Netz hängt? Bei mir hängen /ecp und /owa hinter einem Reverse Proxy der eine 2-FA fordert. Active Sync, /ews und /mapi sind allerdings direkt erreichbar.
Viele Grüße,
A&O
- edit -
versehentlichen Fullquote gelöscht
ich drücke allen Admins hier die Daumen, dass Sie "heil" und mit möglichst wenig Aufwand aus der Sache herauskommen, was für eine fürchterliche Sache!
Meinen 2016er on premise mit CU18 habe ich direkt am Freitag gepatcht und das ganze Wochenende über beobachtet und ausgewertet, was so passiert. Für mein Dafürhalten sind wir nicht betroffen, es konnte keine Einzige der bis jetzt beobachteten Angriffsspuren gefunden werden. Ein ungutes Gefühl bleibt aber trotzdem, denn die Ausführungen von StefanKittel sind vom Grundgedanken her schon richtig.
Was mir bis jetzt aus den ganzen Artikeln und Blogs noch nicht ganz klar geworden ist: Lässt sich der aktuelle Exploit nur ausnutzen wenn /OWA im Netz hängt? Bei mir hängen /ecp und /owa hinter einem Reverse Proxy der eine 2-FA fordert. Active Sync, /ews und /mapi sind allerdings direkt erreichbar.
Viele Grüße,
A&O
- edit -
versehentlichen Fullquote gelöscht
Moin Stefan,
Der Reverse Proxy taugt mehr oder weniger. Das hängt davon ab, ob dieser die Verbindungen 1:1 weiterleitet oder auch aktiv eingreift. Damit meine ich z.B. die Authentifitzierung übernimmt oder/und nur Zugriff auf bestimmte Pfade/Verzeichnisse erlaubt. Schau dir mal die Anleitungen im Internet dazu an, dann kannst du dir es aus rechnen. Eine Web Application Firewall ist oberfläch gesehen, erstmal nichts anderes. Allerdings mit einer regelmäßigen Aktualisierung des Regelwerks durch den Hersteller und/oder Kunde, ist der Mehrwehr auf jeden Fall vorhanden.
Natülich hängt es ein stückweit auch davon ab, welche Services im Internet erreichbar/verföffentlich werden. Nach wie vor können nicht alle (zB. OAB) mit einem vorgelagerten Authentifizierung umgehen. Soweit ich weiß trifft das bei Active-Sync ebenfalls auf die meisten Lösungen (Squid, Nginx zu. Da sieht es beim Einsatz von anderen Produkten (z.B. von Microsoft) schon anders aus.
Daraus resultiert eine gewisse Komplextität und Wissensaufbau. Was vermutlich in vielen Fällen nicht möglich ist oder große Herausforderungen für IT und Unternehmen bedeutet. Daher wie so oft: It' depends.
Gruß,
Dani
Wenn selbst Leute mit Firewall und Reverse-Proxy von Infektionen berichten, führt das wiederrum zu der Konsequenz, dass man so einen Server nur mit VPN betreibten kann.
die Firewall ist erst einmal sekundär. Ich gehe davon aus, dass in 95% der Fälle die Ports via DNAT/Port-Forwarting auf den Revese Proxy weitergeleitet werden. Ich pflegen z.B. eine Rule, in der IP-Adresse stehen, von dene wir auf keinen Fall eine Verbindung annehmen möchten.Der Reverse Proxy taugt mehr oder weniger. Das hängt davon ab, ob dieser die Verbindungen 1:1 weiterleitet oder auch aktiv eingreift. Damit meine ich z.B. die Authentifitzierung übernimmt oder/und nur Zugriff auf bestimmte Pfade/Verzeichnisse erlaubt. Schau dir mal die Anleitungen im Internet dazu an, dann kannst du dir es aus rechnen. Eine Web Application Firewall ist oberfläch gesehen, erstmal nichts anderes. Allerdings mit einer regelmäßigen Aktualisierung des Regelwerks durch den Hersteller und/oder Kunde, ist der Mehrwehr auf jeden Fall vorhanden.
Natülich hängt es ein stückweit auch davon ab, welche Services im Internet erreichbar/verföffentlich werden. Nach wie vor können nicht alle (zB. OAB) mit einem vorgelagerten Authentifizierung umgehen. Soweit ich weiß trifft das bei Active-Sync ebenfalls auf die meisten Lösungen (Squid, Nginx zu. Da sieht es beim Einsatz von anderen Produkten (z.B. von Microsoft) schon anders aus.
Daraus resultiert eine gewisse Komplextität und Wissensaufbau. Was vermutlich in vielen Fällen nicht möglich ist oder große Herausforderungen für IT und Unternehmen bedeutet. Daher wie so oft: It' depends.
IP Geo-Location = Nord VPN kostet nur ein paar Euro
GEO IP halte ich nicht mehr für zeitgemäß. Je nach Datenbank gibt es hier große Abweichungen. Darauf verlassen würde ich mich nicht.RDP Guard - Hilft nur gegen Brute-Force
Wie hilft das Tool gegen die aktuelle Situation? Also was tun?
Ich persönlich gehe davon aus, dass es zukünftig ohne Vorauthentifizierung und 2FA nicht mehr gehen wird - VPN mal außen vor. Gerade auf Hinblick der kleinen und mittelständigen Unternehmen. Die sich RP, WAF, Alwayss Vpn On nicht leisten können. Ich denke die Azure Cloud wird hier zeitnah massiv Zuwachs erhalten. Weil dort die Anforderungen günstig eingekauft werden können.Gruß,
Dani
Die Paranoide Antwort ist:
Exchange und das damit verbundene AD verbrennen und komplett neu aufsetzen
Die vermutlich realistischere Antwort:
Den Exchnange Monitoren bis nicht mehr geht, jegliche IOCs aus diesem Hack ständig prüfen, schauen ob neue bekannt werden etc.
Auch alle möglichen Gruppen/Rechte monitoren bis es nicht mehr geht, hol dir am besten ein Backup von ~ Denzember 2020 und vergleich die Gruppen/Rollen mit jetzt (ja, vermutlich pain in ther ass weil in der zwischenzeit sehr viele änderungen gab)
Ich würde z.B. Bloodhound mal laufen lassen und schauen ob die Ergebnisse von Dez2020 arg anders zu jetzt aussehen.
Schlussendlich kannst du nur eins machen wenn ein geheimdienst APT bei dir ist: Loggen + Monitoren, denn die Jungs sind scheu und schwer zu finden.
Dann noch hier alles genannte abarbeiten: "Improving defenses against Exchange server compromise"
https://www.microsoft.com/security/blog/2020/06/24/defending-exchange-se ...
(wobei es auch nicht viel neues ist)
Frage dazu in die Runde: Hat jemand eine Brauchbare Anleitung wie man ein Exchange "wenigerpriviligiert", also als einen Tier > 0 Server betreiben kann?
Exchange und das damit verbundene AD verbrennen und komplett neu aufsetzen
Die vermutlich realistischere Antwort:
Den Exchnange Monitoren bis nicht mehr geht, jegliche IOCs aus diesem Hack ständig prüfen, schauen ob neue bekannt werden etc.
Auch alle möglichen Gruppen/Rechte monitoren bis es nicht mehr geht, hol dir am besten ein Backup von ~ Denzember 2020 und vergleich die Gruppen/Rollen mit jetzt (ja, vermutlich pain in ther ass weil in der zwischenzeit sehr viele änderungen gab)
Ich würde z.B. Bloodhound mal laufen lassen und schauen ob die Ergebnisse von Dez2020 arg anders zu jetzt aussehen.
Schlussendlich kannst du nur eins machen wenn ein geheimdienst APT bei dir ist: Loggen + Monitoren, denn die Jungs sind scheu und schwer zu finden.
Dann noch hier alles genannte abarbeiten: "Improving defenses against Exchange server compromise"
https://www.microsoft.com/security/blog/2020/06/24/defending-exchange-se ...
(wobei es auch nicht viel neues ist)
Frage dazu in die Runde: Hat jemand eine Brauchbare Anleitung wie man ein Exchange "wenigerpriviligiert", also als einen Tier > 0 Server betreiben kann?
Moin @NetzwerkDude
Aus meiner Sicht gibt es dazu nur zwei Möglichkeiten:
Gruß,
Dani
Frage dazu in die Runde: Hat jemand eine Brauchbare Anleitung wie man ein Exchange "wenigerpriviligiert", also als einen Tier > 0 Server betreiben kann?
Mit einer Anleitung kann ich nicht dienen. Aber es gibt dazu Webmiare, z.B. hier.Aus meiner Sicht gibt es dazu nur zwei Möglichkeiten:
- Implementierung des Split Permissions Model
- Anpassung der NTFS-Berechtigungen für die administrative Gruppen (z.B. Enterprise, Organisation, Domänen-Admins, etc...).
Gruß,
Dani
Moin
Und für die, die es noch nicht geprüft haben:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exc ...
Wir haben es fast geschafft, bei allen Kunden das Update rechtzeitig einzuspielen, Bei einem Kunden haben waren wir aber auch zu langsam. Haben den dann aus dem Backup wiederhergestellt. Die Informationslage ist ja insgesamt noch recht dünn und so richtig weiß niemand, was dann auf dem Server ggf. passiert ist.
Meine persönliche Theorie ist, dass man pauschal erst einmal Server wahllos angegriffen hat, dann eine erste Analyse gelaufen ist, ob es sich lohnt, da weitere Schritte zu unternehmen. Bei dem Kunden konnten wir jedenfalls außer den entsprechende Einträgen in den Logs und einer Datei mit Konfigurationsdaten nichts finden, was auf einen Datenabfluss hätte schließen lassen.
Gruß
Zitat von @StefanKittel:
Das wiederrum führt zu der Annahme, dass jeder Exchange-Server betroffen sein könnte.
naja... Jeder nicht gepatchte...Das wiederrum führt zu der Annahme, dass jeder Exchange-Server betroffen sein könnte.
Selbst wenn man nichts findet.
Gehen wir von einem Geheimdienst aus, könnte es sein, dass die etwas installiert haben was man nicht finden kann.
So sieht das wohl aus...Gehen wir von einem Geheimdienst aus, könnte es sein, dass die etwas installiert haben was man nicht finden kann.
Das wiederrum führt zu der Konsequenz, dass jeder Exchange-Server auf diesem Planeten neu installiert oder aus der Datensicherung wiederhergestellt werden müsste.
das ist wohl die logische Konsequenz, wenn man angegriffen wurde.Und für die, die es noch nicht geprüft haben:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exc ...
Wir haben es fast geschafft, bei allen Kunden das Update rechtzeitig einzuspielen, Bei einem Kunden haben waren wir aber auch zu langsam. Haben den dann aus dem Backup wiederhergestellt. Die Informationslage ist ja insgesamt noch recht dünn und so richtig weiß niemand, was dann auf dem Server ggf. passiert ist.
Meine persönliche Theorie ist, dass man pauschal erst einmal Server wahllos angegriffen hat, dann eine erste Analyse gelaufen ist, ob es sich lohnt, da weitere Schritte zu unternehmen. Bei dem Kunden konnten wir jedenfalls außer den entsprechende Einträgen in den Logs und einer Datei mit Konfigurationsdaten nichts finden, was auf einen Datenabfluss hätte schließen lassen.
Gruß
Ich habe am WE Zahlen gesehen, nach denen > 40% aller Server atakiert wurden. Wie der Stand heute ist = ?
Das ist nicht "jeder" - aber es sind verdammt viele...
Und wenn Du auf deinem Server den Angriff hast diagnostizieren können, dann bleibt doch eigentlich keine andere Wahl, als das Blech aus dem Backup zu holen!? Willst Du die nächste Jahre einen Server betreiben, der vielleicht noch irgendwas in sich trägt???
Das ist nicht "jeder" - aber es sind verdammt viele...
Und wenn Du auf deinem Server den Angriff hast diagnostizieren können, dann bleibt doch eigentlich keine andere Wahl, als das Blech aus dem Backup zu holen!? Willst Du die nächste Jahre einen Server betreiben, der vielleicht noch irgendwas in sich trägt???
Moin,
Gruß,
Dani
Ich habe am WE Zahlen gesehen, nach denen > 40% aller Server atakiert wurden. Wie der Stand heute ist = ?
das ist relativ, oder? Die Frage ist immer welche absolute Zahl verbirgt sich als Gesamtanzahl. Microsoft ist aus meiner Sicht einer der wenigen Quellen die eine ungefähre Anzahl von Installation nennen könnte. Dann gibt's mal eine theoretische Hausnummer.Gruß,
Dani
Hallo,
Nutzer akzeptieren VPN schon, wenn es technisch verträglich gemacht wird, und das Prinzip dahinter in der Unternehmenskultur verankert wird. Das hat man nicht immer in der Hand. Ich habe auch ein öffentliches OWA in meinem Verantwortungsbereich und betrachte das nicht als persönliche Schande.
Hat auch nichts mit Windows zu tun. Wer seine Nextcloud oder eine Linux-basierte Webmail/Groupware ins Netz stellt, hat genau die gleichen Probleme. Vielleicht noch mehr, gemessen an den Gelegenheiten, etwas falsch zu machen.
Was grundsätzlich hilft: Angriffsfläche mit allen vertretbaren Maßnahmen zu minimieren, d.h. bis zur "Schmerzgrenze".
Ich glaube, dass das Wort Angriffsfläche aber für manche Kollegen in der IT-Sicherheit bzw. dem Sicherheitsmanagement gar nicht existiert, weil sie keinen Bezug zur praktischen Durchführung von Angriffen haben. Es gibt stattdessen zwei schematische Auffassungen von IT-Sicherheitsarbeit, die beide nicht viel nutzen:
1) Die SOC-Betriebsblindheit, es gerade für die edelste und dringlichste Aufgabe der IT-Security zu halten, 24/7 der jeweils neuesten Schwachstelle hinterher zu jagen und 260 Newsletter und Threat-Intel-Feeds abonniert zu haben, um irgendwie schneller als alle anderen und doch nicht dabei zu sein, wenn die Zahl der bekannten Ausnutzungen schon fünfstellig ist.
2) Der Glaube an die Pentest-Offenbarung, nach dem Motto: Eine Lösung mag die Angriffsfläche eines Scheunentors haben, aber ich halte sie für sicher, solange mir keiner das Gegenteil beweist. Ich will jemanden aber auch allenfalls gelegentlich und mäßig für den diesbezüglichen Versuch entlohnen.
Die Rechnung geht wirtschaftlich nicht auf, da das Potenzial der Gesamtheit aller möglichen Angreifer nicht individuell simulierbar ist. Ein guter Pentest führt deshalb in der Regel auch zu einzelnen informationellen oder gering gewichteten Findings, zur Beachtung ohne den Nachweis einer Ausnutzbarkeit.
Wer auf die Demonstration einer ausnutzbaren Schwachstelle wartet, anstatt die technischen Grundlagen und den Komplexitätsgrad einer Lösung zu analysieren, um sich zu fragen, ob es das Risiko wert ist, ist natürlich immer zu spät.
Grüße
Richard
Nutzer akzeptieren VPN schon, wenn es technisch verträglich gemacht wird, und das Prinzip dahinter in der Unternehmenskultur verankert wird. Das hat man nicht immer in der Hand. Ich habe auch ein öffentliches OWA in meinem Verantwortungsbereich und betrachte das nicht als persönliche Schande.
Hat auch nichts mit Windows zu tun. Wer seine Nextcloud oder eine Linux-basierte Webmail/Groupware ins Netz stellt, hat genau die gleichen Probleme. Vielleicht noch mehr, gemessen an den Gelegenheiten, etwas falsch zu machen.
Was grundsätzlich hilft: Angriffsfläche mit allen vertretbaren Maßnahmen zu minimieren, d.h. bis zur "Schmerzgrenze".
Ich glaube, dass das Wort Angriffsfläche aber für manche Kollegen in der IT-Sicherheit bzw. dem Sicherheitsmanagement gar nicht existiert, weil sie keinen Bezug zur praktischen Durchführung von Angriffen haben. Es gibt stattdessen zwei schematische Auffassungen von IT-Sicherheitsarbeit, die beide nicht viel nutzen:
1) Die SOC-Betriebsblindheit, es gerade für die edelste und dringlichste Aufgabe der IT-Security zu halten, 24/7 der jeweils neuesten Schwachstelle hinterher zu jagen und 260 Newsletter und Threat-Intel-Feeds abonniert zu haben, um irgendwie schneller als alle anderen und doch nicht dabei zu sein, wenn die Zahl der bekannten Ausnutzungen schon fünfstellig ist.
2) Der Glaube an die Pentest-Offenbarung, nach dem Motto: Eine Lösung mag die Angriffsfläche eines Scheunentors haben, aber ich halte sie für sicher, solange mir keiner das Gegenteil beweist. Ich will jemanden aber auch allenfalls gelegentlich und mäßig für den diesbezüglichen Versuch entlohnen.
Die Rechnung geht wirtschaftlich nicht auf, da das Potenzial der Gesamtheit aller möglichen Angreifer nicht individuell simulierbar ist. Ein guter Pentest führt deshalb in der Regel auch zu einzelnen informationellen oder gering gewichteten Findings, zur Beachtung ohne den Nachweis einer Ausnutzbarkeit.
Wer auf die Demonstration einer ausnutzbaren Schwachstelle wartet, anstatt die technischen Grundlagen und den Komplexitätsgrad einer Lösung zu analysieren, um sich zu fragen, ob es das Risiko wert ist, ist natürlich immer zu spät.
Grüße
Richard
OWA/ecp ist bei mir mit einem reverseproxy + 2FA Preauth abgesichert - ohne Benutzername+Passwort+Code kommt man nicht bis zum Exchange. Natürlich transparent, Benutzer muss sich nicht 2 mal anmelden.
ActiveSync nur über MDM (integriertes VPN). Für den Benutzer transparent, der startet nur seine mdm Mail/Kalender/Kontakte App.
Kein Stress hier mit dem ganzen Thema .
ActiveSync nur über MDM (integriertes VPN). Für den Benutzer transparent, der startet nur seine mdm Mail/Kalender/Kontakte App.
Kein Stress hier mit dem ganzen Thema .