HAFNIUM - Maßnahmen und mögliche Folgen
Moin,
in letzter Zeit gab es auch hier viele verschiedene Beiträge zur HAFNIUM-Attacke auf Exchange-Server.
Mit diesem Beitrag würde ich gern eigene Erfahrungen schildern und dem einen oder anderen vielleicht hilfreiche Tipps geben. Antwortet gern, inwiefern Ihr betroffen seid bzw. was Ihr getan habt, um das Problem einzudämmen oder gar zu beseitigen.
Vorab: Ich hatte gestern ein ausführliches Gespräch mit einem Dienstleister aus dem Bereich IT-Sicherheit, da auch ich natürlich mindestens verunsichert war. Dieser Dienstleister betreibt Pentesting für seine Kunden und hat auch schon einige Infektionen analysiert (ohne Anspruch auf Vollständigkeit, die Untersuchungen dauern an, es ist eben komplex). Es ist immer wieder zu lesen, was HAFNIUM angeblich im Netz angerichtet hat:
Handlungsempfehlung: ALLES NEU MACHEN, KOMPLETT!
MEINE eigene Einschätzung und auch die des Dienstleisters:
Was ICH nach Installation des Patches getan habe:
Sinnvolle Maßnahmen:
Vielleicht hilft das jemandem!
Gruß
EDIT: Noch zwei sinnvolle Maßnahmen hinzugefügt
in letzter Zeit gab es auch hier viele verschiedene Beiträge zur HAFNIUM-Attacke auf Exchange-Server.
Mit diesem Beitrag würde ich gern eigene Erfahrungen schildern und dem einen oder anderen vielleicht hilfreiche Tipps geben. Antwortet gern, inwiefern Ihr betroffen seid bzw. was Ihr getan habt, um das Problem einzudämmen oder gar zu beseitigen.
Vorab: Ich hatte gestern ein ausführliches Gespräch mit einem Dienstleister aus dem Bereich IT-Sicherheit, da auch ich natürlich mindestens verunsichert war. Dieser Dienstleister betreibt Pentesting für seine Kunden und hat auch schon einige Infektionen analysiert (ohne Anspruch auf Vollständigkeit, die Untersuchungen dauern an, es ist eben komplex). Es ist immer wieder zu lesen, was HAFNIUM angeblich im Netz angerichtet hat:
- Das GESAMTE AD ist befallen! Bei Geräten wird ein manipuliertes BIOS eingespielt!
- Berechtigungen auf Fileservern werden geändert!
- Es werden plötzlich neue AD-Gruppen eingerichtet, neuen Benutzern werden Admin-Rechte vergeben!
Handlungsempfehlung: ALLES NEU MACHEN, KOMPLETT!
MEINE eigene Einschätzung und auch die des Dienstleisters:
- Es handelt sich zuallererst um eine automatisierte (!) Attacke auf MAILserver.
- Da weltweit Hunderttausende Systeme betroffen sind, ist in jedem Fall im zweiten Schritt Handarbeit der Angreifer nötig, die gesammelten Infos müssen ausgewertet werden. Das macht niemand mal eben im Vorbeigehen. Außerdem, so wichtig sich hier jeder einzelne auch fühlen mag, mit Sicherheit sind lohnenswertere Ziele befallen, deren Auswertung Vorrang hat!
- Vermutung: Wer jetzt eine ganze Reihe anderer Probleme hat, wurde denn vorher richtig hingeschaut? Oder war diese Geschichte jetzt der Anlass, sich das Netzwerk mal genauer anzusehen? Gibt es dies Probleme vielleicht schon länger?
- Mal drüber nachdenken: Wenn ich behaupte, dass auch Geräte wie Drucker befallen sind, setzt das nicht voraus, dass die Angreifer wissen, um welche Druckermodelle es sich handelt? Das ist aus meiner Sicht automatisiert nur begrenzt zu machen, gibt schließlich mehr als ein Modell. Im Zweifel hat ein Angreifer sich im Netz schon mal genauer umgesehen und Informationen gesammelt.
Was ICH nach Installation des Patches getan habe:
- Leider erst am 04.03.2021 realisiert, dass es diesen Microsoft-Patch gibt. Asche auf mein Haupt, ich weiß.
- Skript Test-ProxyLogon laufen lassen: https://github.com/microsoft/CSS-Exchange/tree/main/Security
- Ergebnis
#TYPE Selected.System.Management.Automation.PSCustomObject "DateTime","RequestId","ClientIpAddress","UrlHost","UrlStem","RoutingHint","UserAgent","AnchorMailbox","HttpStatus" "2021-03-03T04:29:56.247Z","03304c0c-b7e7-483c-b999-8a9dbbf3b121","86.105.18.116","exchange.domaene.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200" "2021-03-03T06:52:47.704Z","cf47ef47-d766-42ef-a970-99dcf965757e","130.255.189.21","exchange.domaene.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200" "2021-03-03T07:06:39.161Z","15443f77-3445-44bc-9f2f-1c9fd856b081","86.105.18.116","exchange.domaene.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200" "2021-03-03T07:52:37.541Z","756ac685-6bbd-4467-a822-72d5e79382d6","86.105.18.116","xxx.xxx.xxx.xxx","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200" "2021-03-03T10:43:47.192Z","c2f5b646-5fad-4f50-8cdd-f60d58d1af00","86.105.18.116","exchange.domaene.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200" "2021-03-03T11:22:08.445Z","64561d4a-0753-4115-8597-1eadb43ea141","86.105.18.116","xxx.xxx.xxx.xxx","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200" "2021-03-04T16:19:05.672Z","5124c0e6-c837-41bb-9e89-847dbfead704","103.142.141.180","exchange.domaene.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200" "2021-03-04T17:28:52.355Z","bb9a67b9-2f7d-48e6-ac50-3316c1b645f3","103.142.141.180","exchange.domaene.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200"
- Weiter, ich suche nach abgelegten Webshells: https://github.com/cert-lv/exchange_webshell_detection
- Scannen des Mailservers mit dem Microsoft Scanner: https://docs.microsoft.com/de-de/windows/security/threat-protection/inte ...
- Scannen mit unserem Virenscanner (Sophos)
- Prüfen der Exchange-Systemdateien: https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exc ...
- Testen mit SpectX (kostenlose Version) und Templates: https://www.spectx.com/articles/investigate-your-logs-for-the-microsoft- ...
- Checken der Firewall-Logs und des IPS
- Mit unserer Netwrix-Installation (sehr hilfreich in diesem Fall!) auf Änderungen im AD und auf den Servern geprüft
- Rücksicherung einer sauberen Exchange-Installation (nur Systempartition)
- Erneute Tests mit Test-Proxy-Logon
Sinnvolle Maßnahmen:
- Exchange-Installation niemals komplett auf die C-Partition installieren! Immer DB und Installation trennen. Zum Einen ist dies hilfreich für die Performance, zum Anderen kann in diesem Falle nur die C-Partition zurückgesichert werden, ohne Daten zu verlieren.
- EAC-Zugriff über Internet sperren (warum auch immer Microsoft dieses standardmäßig erlaubt und eine Änderung sogar unnötig erschwert...). Dies geht bspw. mit Bordmitteln: https://www.frankysweb.de/exchange-2016-eac-nur-im-internen-netzwerk-fre ... (evtl. ist das auch mit Eurer Firewall möglich).
- Exchange quasi ohne Datenverlust neu installieren: https://www.frankysweb.de/exchange-server-neuinstallation-ohne-datenverl ...
- Sollte Test-ProxyLogon verdächtige Aktivitäten ausgemacht haben, so steht im Dateinamen die genutzte Schwachstelle (z.B. MAILSERVER-Cve-2021-26855). Nach der CVE könnt Ihr googeln, um genauer zu sehen, was da passiert sein könnte.
- Änderung ALLER Benutzerpasswörter. Ggf. wurden automatisiert die Hashes abgezogen und in einigen Monaten nach Auswertung genutzt.
- Einsatz von LAPS, zumindest für die Server: https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad ...
- Einsatz einer Antivirus-EDR-Lösung, z.B. von Sophos: https://www.sophos.com/de-de/products/endpoint-antivirus/edr.aspx
- Muss der Exchange weiterhin per HTTPS erreichbar sein, Einsatz von GeoIP. Das kann eine Scheinsicherheit vermitteln und ist nicht 100%ig, kann aber einiges verhindern (uns hätte es geholfen...)
- Logs und IPS im Auge behalten
- Tiefergehende Analyse: https://blog.truesec.com/2021/03/07/exchange-zero-day-proxylogon-and-haf ...
- Anlegen eines eigenen AD-Users zum Auslesen des ADs, z.B. Abfrage ob Benutzer existiert. Gern wird hier aus reiner Bequemlichkeit einfach der Domainadmin genommen
- Einsatz einer Web Application Firewall
Vielleicht hilft das jemandem!
Gruß
EDIT: Noch zwei sinnvolle Maßnahmen hinzugefügt
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 661822
Url: https://administrator.de/knowledge/hafnium-massnahmen-und-moegliche-folgen-661822.html
Ausgedruckt am: 24.12.2024 um 19:12 Uhr
5 Kommentare
Neuester Kommentar
Zitat von @Coreknabe:
MEINE eigene Einschätzung und auch die des Dienstleisters:
MEINE eigene Einschätzung und auch die des Dienstleisters:
- Es handelt sich zuallererst um eine automatisierte (!) Attacke auf MAILserver.
"Zuallererst" in zeitlicher Hinsicht sicher nicht. Natürlich wird es von jedermann automatisiert, wenn schon der Patch verfügbar ist. Daraus lässt sich keine Handlungsempfehlung ableiten. Ebenso kann man zu denjenigen gehören, die es Monate vorher erwischt hat.
Niemand wirft automatisiert mit 0-Days um sich. Bis Anfang März lief es im Wesentlichen manuell und die Angreifer haben sich auch weiter vorgearbeitet und Persistenz hergestellt, wo es möglich war.
* Da weltweit Hunderttausende Systeme betroffen sind, ist in jedem Fall im zweiten Schritt Handarbeit der Angreifer nötig, die gesammelten Infos müssen ausgewertet werden. Das macht niemand mal eben im Vorbeigehen. Außerdem, so wichtig sich hier jeder einzelne auch fühlen mag, mit Sicherheit sind lohnenswertere Ziele befallen, deren Auswertung Vorrang hat!
Jetzt sind ja auch tausende Angreifer involviert.
Grüße
Richard
Habe es mal im ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren in einem Kommentar mit verlinkt - danke.
Danke für deine Mühe.
Wir sind auch am 3.3. morgens 2x von dieser Adresse aus Holland geprobt worden. Vermutlich wurde gesammelt und ausgewertet ob die Ziele lohnenswert sind. Am Nachmittag haben wir aktualisiert und danach auch nichts gefunden. Ein befreundetet Unternehmen hat ein Script in der OAB Ablage gefunden, das beim nächsten erzeugen eines neuen OAB mit Systemrechten ausgeführt worden wäre.
gruss ULTI
hier ein interner Hinweis
Neues Tool von Microsoft: Exchange-Server mit wenigen Klicks absichern
und MS hafnium-targeting-exchange-servers
und das BSI nicht vergessen
Hilfe vom BSI
Wir sind auch am 3.3. morgens 2x von dieser Adresse aus Holland geprobt worden. Vermutlich wurde gesammelt und ausgewertet ob die Ziele lohnenswert sind. Am Nachmittag haben wir aktualisiert und danach auch nichts gefunden. Ein befreundetet Unternehmen hat ein Script in der OAB Ablage gefunden, das beim nächsten erzeugen eines neuen OAB mit Systemrechten ausgeführt worden wäre.
gruss ULTI
hier ein interner Hinweis
Neues Tool von Microsoft: Exchange-Server mit wenigen Klicks absichern
und MS hafnium-targeting-exchange-servers
und das BSI nicht vergessen
Hilfe vom BSI