Wie grundsätzlich verfahren mit Exchange Zero-Day-Exploit?

Mitglied: StefanKittel

StefanKittel (Level 5) - Jetzt verbinden

08.03.2021 um 01:28 Uhr, 2911 Aufrufe, 15 Kommentare, 3 Danke

Hallo,

ich habe auf einem Server mit den Tool von Microsoft Zugriffsversuche am 26. und 27.02.21 gefunden.
Das führt mich zu der Vermutung, dass das Exploit schon vor dem Update ausgenutzt wurde.
Klingt logisch, sonst könnte es ja kein Zero-Day-Exploit sein.

Das wiederrum führt zu der Annahme, dass jeder Exchange-Server betroffen sein könnte.

Selbst wenn man nichts findet.
Gehen wir von einem Geheimdienst aus, könnte es sein, dass die etwas installiert haben was man nicht finden kann.

Das wiederrum führt zu der Konsequenz, dass jeder Exchange-Server auf diesem Planeten neu installiert oder aus der Datensicherung wiederhergestellt werden müsste.

Wenn selbst Leute mit Firewall und Reverse-Proxy von Infektionen berichten, führt das wiederrum zu der Konsequenz, dass man so einen Server nur mit VPN betreibten kann.
Was die Nutzer garantiert nicht akzeptieren werden.

Also was tun?

Firewall + Reverse-Proxy = Hilft nicht (oder nur wenig)
IP Geo-Location = Nord VPN kostet nur ein paar Euro
RDP Guard - Hilft nur gegen Brute-Force

Stefan
Mitglied: redhorse
08.03.2021 um 06:44 Uhr
Guten Morgen,

wir fahren mit dem Ansatz Outlook und OWA nur über VPN seit Jahren ganz gut. Allerdings kennen unsere Anwender das auch nicht anders, wenn das einmal frei verfügbar war, dann hat man natürlich Diskussionsbedarf.

Bei uns werden wir dabei von der GF sehr unterstützt, solche Vorfälle sind dann natürlich die Bestätigung für dieses Konzept.

ActiveSync ist bei uns über einen Reverse-Proxy als einziges freigegeben, hier überlege ich jetzt, über wir das über MobileIron Sentry noch weiter absichern.

Viele Grüße
Bitte warten ..
Mitglied: Lochkartenstanzer
08.03.2021 um 06:54 Uhr
Moin,

Ich stehe schon seit Jahrzehnten lauf dem Standpunkt, daß ein Windows-Server, insbesondere ein Exchange keine direkte Verbindung ins Internet haben darf.

Der Zugriff ins "Internet" Netz darf also imho nur über VPN erfolgen, vor allem wenn man mitbekommt, was gerade passiert ist.


lks
Bitte warten ..
Mitglied: AlphaundOmega
08.03.2021, aktualisiert um 09:15 Uhr
Hallo Kollegen,

ich drücke allen Admins hier die Daumen, dass Sie "heil" und mit möglichst wenig Aufwand aus der Sache herauskommen, was für eine fürchterliche Sache!

Meinen 2016er on premise mit CU18 habe ich direkt am Freitag gepatcht und das ganze Wochenende über beobachtet und ausgewertet, was so passiert. Für mein Dafürhalten sind wir nicht betroffen, es konnte keine Einzige der bis jetzt beobachteten Angriffsspuren gefunden werden. Ein ungutes Gefühl bleibt aber trotzdem, denn die Ausführungen von StefanKittel sind vom Grundgedanken her schon richtig.


Was mir bis jetzt aus den ganzen Artikeln und Blogs noch nicht ganz klar geworden ist: Lässt sich der aktuelle Exploit nur ausnutzen wenn /OWA im Netz hängt? Bei mir hängen /ecp und /owa hinter einem Reverse Proxy der eine 2-FA fordert. Active Sync, /ews und /mapi sind allerdings direkt erreichbar.

Viele Grüße,

A&O




- edit -

versehentlichen Fullquote gelöscht
Bitte warten ..
Mitglied: ArnoNymous
08.03.2021 um 09:04 Uhr
Moin,

von welchem Tool sprichst du?

Gruß
Bitte warten ..
Mitglied: AlphaundOmega
08.03.2021 um 09:15 Uhr
Auf was bzw. wen bezieht sich deine Frage?
Bitte warten ..
Mitglied: ArnoNymous
08.03.2021 um 10:34 Uhr
Auf Stefans Aussage im Ausgangspost.
Bitte warten ..
Mitglied: Dani
08.03.2021, aktualisiert um 10:57 Uhr
Moin Stefan,
Wenn selbst Leute mit Firewall und Reverse-Proxy von Infektionen berichten, führt das wiederrum zu der Konsequenz, dass man so einen Server nur mit VPN betreibten kann.
die Firewall ist erst einmal sekundär. Ich gehe davon aus, dass in 95% der Fälle die Ports via DNAT/Port-Forwarting auf den Revese Proxy weitergeleitet werden. Ich pflegen z.B. eine Rule, in der IP-Adresse stehen, von dene wir auf keinen Fall eine Verbindung annehmen möchten.

Der Reverse Proxy taugt mehr oder weniger. Das hängt davon ab, ob dieser die Verbindungen 1:1 weiterleitet oder auch aktiv eingreift. Damit meine ich z.B. die Authentifitzierung übernimmt oder/und nur Zugriff auf bestimmte Pfade/Verzeichnisse erlaubt. Schau dir mal die Anleitungen im Internet dazu an, dann kannst du dir es aus rechnen. Eine Web Application Firewall ist oberfläch gesehen, erstmal nichts anderes. Allerdings mit einer regelmäßigen Aktualisierung des Regelwerks durch den Hersteller und/oder Kunde, ist der Mehrwehr auf jeden Fall vorhanden.

Natülich hängt es ein stückweit auch davon ab, welche Services im Internet erreichbar/verföffentlich werden. Nach wie vor können nicht alle (zB. OAB) mit einem vorgelagerten Authentifizierung umgehen. Soweit ich weiß trifft das bei Active-Sync ebenfalls auf die meisten Lösungen (Squid, Nginx zu. Da sieht es beim Einsatz von anderen Produkten (z.B. von Microsoft) schon anders aus.

Daraus resultiert eine gewisse Komplextität und Wissensaufbau. Was vermutlich in vielen Fällen nicht möglich ist oder große Herausforderungen für IT und Unternehmen bedeutet. Daher wie so oft: It' depends. :-) face-smile

IP Geo-Location = Nord VPN kostet nur ein paar Euro
GEO IP halte ich nicht mehr für zeitgemäß. Je nach Datenbank gibt es hier große Abweichungen. Darauf verlassen würde ich mich nicht.

RDP Guard - Hilft nur gegen Brute-Force
Wie hilft das Tool gegen die aktuelle Situation?

Also was tun?
Ich persönlich gehe davon aus, dass es zukünftig ohne Vorauthentifizierung und 2FA nicht mehr gehen wird - VPN mal außen vor. Gerade auf Hinblick der kleinen und mittelständigen Unternehmen. Die sich RP, WAF, Alwayss Vpn On nicht leisten können. Ich denke die Azure Cloud wird hier zeitnah massiv Zuwachs erhalten. Weil dort die Anforderungen günstig eingekauft werden können.


Gruß,
Dani
Bitte warten ..
Mitglied: NetzwerkDude
08.03.2021 um 11:33 Uhr
Die Paranoide Antwort ist:
Exchange und das damit verbundene AD verbrennen und komplett neu aufsetzen

Die vermutlich realistischere Antwort:
Den Exchnange Monitoren bis nicht mehr geht, jegliche IOCs aus diesem Hack ständig prüfen, schauen ob neue bekannt werden etc.
Auch alle möglichen Gruppen/Rechte monitoren bis es nicht mehr geht, hol dir am besten ein Backup von ~ Denzember 2020 und vergleich die Gruppen/Rollen mit jetzt (ja, vermutlich pain in ther ass weil in der zwischenzeit sehr viele änderungen gab)
Ich würde z.B. Bloodhound mal laufen lassen und schauen ob die Ergebnisse von Dez2020 arg anders zu jetzt aussehen.
Schlussendlich kannst du nur eins machen wenn ein geheimdienst APT bei dir ist: Loggen + Monitoren, denn die Jungs sind scheu und schwer zu finden.

Dann noch hier alles genannte abarbeiten: "Improving defenses against Exchange server compromise"
https://www.microsoft.com/security/blog/2020/06/24/defending-exchange-se ...
(wobei es auch nicht viel neues ist)

Frage dazu in die Runde: Hat jemand eine Brauchbare Anleitung wie man ein Exchange "wenigerpriviligiert", also als einen Tier > 0 Server betreiben kann?
Bitte warten ..
Mitglied: Dani
08.03.2021 um 11:49 Uhr
Moin @NetzwerkDude
Frage dazu in die Runde: Hat jemand eine Brauchbare Anleitung wie man ein Exchange "wenigerpriviligiert", also als einen Tier > 0 Server betreiben kann?
Mit einer Anleitung kann ich nicht dienen. Aber es gibt dazu Webmiare, z.B. hier.

Aus meiner Sicht gibt es dazu nur zwei Möglichkeiten:
  • Implementierung des Split Permissions Model
  • Anpassung der NTFS-Berechtigungen für die administrative Gruppen (z.B. Enterprise, Organisation, Domänen-Admins, etc...).


Gruß,
Dani
Bitte warten ..
Mitglied: Hubert.N
08.03.2021 um 12:47 Uhr
Moin

Zitat von @StefanKittel:
Das wiederrum führt zu der Annahme, dass jeder Exchange-Server betroffen sein könnte.
naja... Jeder nicht gepatchte...

Selbst wenn man nichts findet.
Gehen wir von einem Geheimdienst aus, könnte es sein, dass die etwas installiert haben was man nicht finden kann.
So sieht das wohl aus...

Das wiederrum führt zu der Konsequenz, dass jeder Exchange-Server auf diesem Planeten neu installiert oder aus der Datensicherung wiederhergestellt werden müsste.
das ist wohl die logische Konsequenz, wenn man angegriffen wurde.

Und für die, die es noch nicht geprüft haben:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exc ...

Wir haben es fast geschafft, bei allen Kunden das Update rechtzeitig einzuspielen, Bei einem Kunden haben waren wir aber auch zu langsam. Haben den dann aus dem Backup wiederhergestellt. Die Informationslage ist ja insgesamt noch recht dünn und so richtig weiß niemand, was dann auf dem Server ggf. passiert ist.

Meine persönliche Theorie ist, dass man pauschal erst einmal Server wahllos angegriffen hat, dann eine erste Analyse gelaufen ist, ob es sich lohnt, da weitere Schritte zu unternehmen. Bei dem Kunden konnten wir jedenfalls außer den entsprechende Einträgen in den Logs und einer Datei mit Konfigurationsdaten nichts finden, was auf einen Datenabfluss hätte schließen lassen.

Gruß
Bitte warten ..
Mitglied: StefanKittel
08.03.2021, aktualisiert um 13:02 Uhr
Zitat von @Hubert.N:
Zitat von @StefanKittel:
Das wiederrum führt zu der Annahme, dass jeder Exchange-Server betroffen sein könnte.
naja... Jeder nicht gepatchte...

ich habe auf einem Server mit den Tool von Microsoft Zugriffsversuche am 26. und 27.02.21 gefunden.
Also doch jeder oder nicht?
Bitte warten ..
Mitglied: Hubert.N
08.03.2021 um 14:10 Uhr
Ich habe am WE Zahlen gesehen, nach denen > 40% aller Server atakiert wurden. Wie der Stand heute ist = ?

Das ist nicht "jeder" - aber es sind verdammt viele...

Und wenn Du auf deinem Server den Angriff hast diagnostizieren können, dann bleibt doch eigentlich keine andere Wahl, als das Blech aus dem Backup zu holen!? Willst Du die nächste Jahre einen Server betreiben, der vielleicht noch irgendwas in sich trägt???
Bitte warten ..
Mitglied: Dani
08.03.2021 um 17:42 Uhr
Moin,
Ich habe am WE Zahlen gesehen, nach denen > 40% aller Server atakiert wurden. Wie der Stand heute ist = ?
das ist relativ, oder? Die Frage ist immer welche absolute Zahl verbirgt sich als Gesamtanzahl. Microsoft ist aus meiner Sicht einer der wenigen Quellen die eine ungefähre Anzahl von Installation nennen könnte. Dann gibt's mal eine theoretische Hausnummer.


Gruß,
Dani
Bitte warten ..
Mitglied: C.R.S.
08.03.2021 um 19:34 Uhr
Hallo,

Nutzer akzeptieren VPN schon, wenn es technisch verträglich gemacht wird, und das Prinzip dahinter in der Unternehmenskultur verankert wird. Das hat man nicht immer in der Hand. Ich habe auch ein öffentliches OWA in meinem Verantwortungsbereich und betrachte das nicht als persönliche Schande.

Hat auch nichts mit Windows zu tun. Wer seine Nextcloud oder eine Linux-basierte Webmail/Groupware ins Netz stellt, hat genau die gleichen Probleme. Vielleicht noch mehr, gemessen an den Gelegenheiten, etwas falsch zu machen.

Was grundsätzlich hilft: Angriffsfläche mit allen vertretbaren Maßnahmen zu minimieren, d.h. bis zur "Schmerzgrenze".

Ich glaube, dass das Wort Angriffsfläche aber für manche Kollegen in der IT-Sicherheit bzw. dem Sicherheitsmanagement gar nicht existiert, weil sie keinen Bezug zur praktischen Durchführung von Angriffen haben. Es gibt stattdessen zwei schematische Auffassungen von IT-Sicherheitsarbeit, die beide nicht viel nutzen:

1) Die SOC-Betriebsblindheit, es gerade für die edelste und dringlichste Aufgabe der IT-Security zu halten, 24/7 der jeweils neuesten Schwachstelle hinterher zu jagen und 260 Newsletter und Threat-Intel-Feeds abonniert zu haben, um irgendwie schneller als alle anderen und doch nicht dabei zu sein, wenn die Zahl der bekannten Ausnutzungen schon fünfstellig ist.

2) Der Glaube an die Pentest-Offenbarung, nach dem Motto: Eine Lösung mag die Angriffsfläche eines Scheunentors haben, aber ich halte sie für sicher, solange mir keiner das Gegenteil beweist. Ich will jemanden aber auch allenfalls gelegentlich und mäßig für den diesbezüglichen Versuch entlohnen.
Die Rechnung geht wirtschaftlich nicht auf, da das Potenzial der Gesamtheit aller möglichen Angreifer nicht individuell simulierbar ist. Ein guter Pentest führt deshalb in der Regel auch zu einzelnen informationellen oder gering gewichteten Findings, zur Beachtung ohne den Nachweis einer Ausnutzbarkeit.
Wer auf die Demonstration einer ausnutzbaren Schwachstelle wartet, anstatt die technischen Grundlagen und den Komplexitätsgrad einer Lösung zu analysieren, um sich zu fragen, ob es das Risiko wert ist, ist natürlich immer zu spät.

Grüße
Richard
Bitte warten ..
Mitglied: hilman2
10.03.2021 um 01:35 Uhr
OWA/ecp ist bei mir mit einem reverseproxy + 2FA Preauth abgesichert - ohne Benutzername+Passwort+Code kommt man nicht bis zum Exchange. Natürlich transparent, Benutzer muss sich nicht 2 mal anmelden.

ActiveSync nur über MDM (integriertes VPN). Für den Benutzer transparent, der startet nur seine mdm Mail/Kalender/Kontakte App.

Kein Stress hier mit dem ganzen Thema .
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 19 StundenTippErkennung und -Abwehr4 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...

Drucker und Scanner
Epson WF-6590 druckt nur cyan und gelb
gelöst ITCrowdSupporterVor 1 TagFrageDrucker und Scanner15 Kommentare

Guten Tag :-) Es geht um einen Epson Workforce Pro WF-6590. Er druckt nur cyan und gelb obwohl neue Originalpatronen für schwarz und magenta ...

Windows Server
Hat Microsoft die WindowsServerSicherung oder diskpart zerpatcht?
anteNopeVor 14 StundenFrageWindows Server3 Kommentare

Hallo, kann es eventuell sein, dass Microsoft mit seinen letzten Updates die WindowsServerSicherung bzw. diskpart zerschossen hat? Es häufen sich bei mir seit gestern ...