coreknabe
Mar 12, 2021, updated at 10:51:02 (UTC)
view5474
view5
7
Goto Top

HAFNIUM - Maßnahmen und mögliche Folgen

GermanTipE-MailInternet
Moin,

in letzter Zeit gab es auch hier viele verschiedene Beiträge zur HAFNIUM-Attacke auf Exchange-Server.

Mit diesem Beitrag würde ich gern eigene Erfahrungen schildern und dem einen oder anderen vielleicht hilfreiche Tipps geben. Antwortet gern, inwiefern Ihr betroffen seid bzw. was Ihr getan habt, um das Problem einzudämmen oder gar zu beseitigen.

Vorab: Ich hatte gestern ein ausführliches Gespräch mit einem Dienstleister aus dem Bereich IT-Sicherheit, da auch ich natürlich mindestens verunsichert war. Dieser Dienstleister betreibt Pentesting für seine Kunden und hat auch schon einige Infektionen analysiert (ohne Anspruch auf Vollständigkeit, die Untersuchungen dauern an, es ist eben komplex). Es ist immer wieder zu lesen, was HAFNIUM angeblich im Netz angerichtet hat:
  • Das GESAMTE AD ist befallen! Bei Geräten wird ein manipuliertes BIOS eingespielt!
  • Berechtigungen auf Fileservern werden geändert!
  • Es werden plötzlich neue AD-Gruppen eingerichtet, neuen Benutzern werden Admin-Rechte vergeben!

Handlungsempfehlung: ALLES NEU MACHEN, KOMPLETT!

MEINE eigene Einschätzung und auch die des Dienstleisters:
  • Es handelt sich zuallererst um eine automatisierte (!) Attacke auf MAILserver.
  • Da weltweit Hunderttausende Systeme betroffen sind, ist in jedem Fall im zweiten Schritt Handarbeit der Angreifer nötig, die gesammelten Infos müssen ausgewertet werden. Das macht niemand mal eben im Vorbeigehen. Außerdem, so wichtig sich hier jeder einzelne auch fühlen mag, mit Sicherheit sind lohnenswertere Ziele befallen, deren Auswertung Vorrang hat!
  • Vermutung: Wer jetzt eine ganze Reihe anderer Probleme hat, wurde denn vorher richtig hingeschaut? Oder war diese Geschichte jetzt der Anlass, sich das Netzwerk mal genauer anzusehen? Gibt es dies Probleme vielleicht schon länger?
  • Mal drüber nachdenken: Wenn ich behaupte, dass auch Geräte wie Drucker befallen sind, setzt das nicht voraus, dass die Angreifer wissen, um welche Druckermodelle es sich handelt? Das ist aus meiner Sicht automatisiert nur begrenzt zu machen, gibt schließlich mehr als ein Modell. Im Zweifel hat ein Angreifer sich im Netz schon mal genauer umgesehen und Informationen gesammelt.


Was ICH nach Installation des Patches getan habe:
  • Leider erst am 04.03.2021 realisiert, dass es diesen Microsoft-Patch gibt. Asche auf mein Haupt, ich weiß.
  • Skript Test-ProxyLogon laufen lassen: https://github.com/microsoft/CSS-Exchange/tree/main/Security
  • Ergebnis 
    #TYPE Selected.System.Management.Automation.PSCustomObject
"DateTime","RequestId","ClientIpAddress","UrlHost","UrlStem","RoutingHint","UserAgent","AnchorMailbox","HttpStatus"  
"2021-03-03T04:29:56.247Z","03304c0c-b7e7-483c-b999-8a9dbbf3b121","86.105.18.116","exchange.domaene.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200"  
"2021-03-03T06:52:47.704Z","cf47ef47-d766-42ef-a970-99dcf965757e","130.255.189.21","exchange.domaene.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200"  
"2021-03-03T07:06:39.161Z","15443f77-3445-44bc-9f2f-1c9fd856b081","86.105.18.116","exchange.domaene.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200"  
"2021-03-03T07:52:37.541Z","756ac685-6bbd-4467-a822-72d5e79382d6","86.105.18.116","xxx.xxx.xxx.xxx","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200"  
"2021-03-03T10:43:47.192Z","c2f5b646-5fad-4f50-8cdd-f60d58d1af00","86.105.18.116","exchange.domaene.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200"  
"2021-03-03T11:22:08.445Z","64561d4a-0753-4115-8597-1eadb43ea141","86.105.18.116","xxx.xxx.xxx.xxx","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200"  
"2021-03-04T16:19:05.672Z","5124c0e6-c837-41bb-9e89-847dbfead704","103.142.141.180","exchange.domaene.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200"  
"2021-03-04T17:28:52.355Z","bb9a67b9-2f7d-48e6-ac50-3316c1b645f3","103.142.141.180","exchange.domaene.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200"
Autsch, sieht nicht gut aus, am Zeilenende der HTTP-Code 200, also erfolgreiche Verbindung...
Nichts gefunden...
Nichts gefunden
  • Scannen mit unserem Virenscanner (Sophos)
Nichts gefunden
Nichts gefunden
Nichts gefunden
  • Checken der Firewall-Logs und des IPS
Es finden sich einige ausländische Zugriffsversuche mittels HTTPS, die aber geblockt wurden. Die IPs aus dem Test-ProxyLogon tauchen nicht mehr auf.
  • Mit unserer Netwrix-Installation (sehr hilfreich in diesem Fall!) auf Änderungen im AD und auf den Servern geprüft
Keine Auffälligkeiten
  • Rücksicherung einer sauberen Exchange-Installation (nur Systempartition)
  • Erneute Tests mit Test-Proxy-Logon
Nichts gefunden

Sinnvolle Maßnahmen:

Vielleicht hilft das jemandem!

Gruß

EDIT: Noch zwei sinnvolle Maßnahmen hinzugefügt face-smile
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 661822

Url: https://administrator.de/contentid/661822

Printed on: May 4, 2024 at 15:05 o'clock

5 Comments
Latest comment
Goto Top
Member: C.R.S.
C.R.S. Mar 12, 2021 at 15:35:25 (UTC)
Goto Top
Zitat von @Coreknabe:

MEINE eigene Einschätzung und auch die des Dienstleisters:
  • Es handelt sich zuallererst um eine automatisierte (!) Attacke auf MAILserver.

"Zuallererst" in zeitlicher Hinsicht sicher nicht. Natürlich wird es von jedermann automatisiert, wenn schon der Patch verfügbar ist. Daraus lässt sich keine Handlungsempfehlung ableiten. Ebenso kann man zu denjenigen gehören, die es Monate vorher erwischt hat.
Niemand wirft automatisiert mit 0-Days um sich. Bis Anfang März lief es im Wesentlichen manuell und die Angreifer haben sich auch weiter vorgearbeitet und Persistenz hergestellt, wo es möglich war.

* Da weltweit Hunderttausende Systeme betroffen sind, ist in jedem Fall im zweiten Schritt Handarbeit der Angreifer nötig, die gesammelten Infos müssen ausgewertet werden. Das macht niemand mal eben im Vorbeigehen. Außerdem, so wichtig sich hier jeder einzelne auch fühlen mag, mit Sicherheit sind lohnenswertere Ziele befallen, deren Auswertung Vorrang hat!

Jetzt sind ja auch tausende Angreifer involviert.

Grüße
Richard
Member: Coreknabe
Coreknabe Mar 12, 2021 updated at 16:38:05 (UTC)
Goto Top
Hi Richard,

danke für Deinen Kommentar.

Du hast mit Deinen Argumenten sicher einen Punkt. Habe vorhin noch ein Sophos-Webinar zum Thema gesehen, vermutlich laufen erste Angriffe schon seit November 2020. Aaaaber: Diese Angriffe wurden von Profis organisiert und hatten definierte Ziele, die haben nicht mit der Schrotflinte ins Grüne geschossen. Macht ja auch keinen Sinn, wenn ich vorerst möglichst verborgen bleiben will und mich auf bestimmte Ziele konzentriere.
Die ganzen Trittbrettfahrer sind ja erst später dazugekommen. Aber auch die verfügen a) weder über unbegrenzte Ressourcen und b) kann man nicht davon ausgehen, dass die sich arbeitsteilig absprechen. Und auch hier sucht der geneigte Angreifer sicher Ziele, die lohnender erscheinen als die Bowlingbedarf GmbH und Co KG. Bei der Masse der betroffenen Server ist es schlicht unwahrscheinlich, dass sofort alle Möglichkeiten genutzt werden können. Das ergibt für uns als Admins ein kleines Zeitfenster, das wollte ich damit u.a. ausdrücken.

Gruß
Member: kgborn
kgborn Mar 16, 2021 at 10:03:11 (UTC)
Goto Top
Habe es mal im ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren in einem Kommentar mit verlinkt - danke.
Member: ultiman
ultiman Mar 16, 2021 updated at 20:39:56 (UTC)
Goto Top
Danke für deine Mühe.
Wir sind auch am 3.3. morgens 2x von dieser Adresse aus Holland geprobt worden. Vermutlich wurde gesammelt und ausgewertet ob die Ziele lohnenswert sind. Am Nachmittag haben wir aktualisiert und danach auch nichts gefunden. Ein befreundetet Unternehmen hat ein Script in der OAB Ablage gefunden, das beim nächsten erzeugen eines neuen OAB mit Systemrechten ausgeführt worden wäre.
gruss ULTI

hier ein interner Hinweis
Neues Tool von Microsoft: Exchange-Server mit wenigen Klicks absichern

und MS hafnium-targeting-exchange-servers

und das BSI nicht vergessen
Hilfe vom BSI
Member: Coreknabe
Coreknabe Mar 17, 2021 at 08:30:57 (UTC)
Goto Top
@kgborn
Vielen Dank!

@ultiman
Danke auch für Deine Ergänzungen.
GermanTipE-MailInternet
Hotly discussed
LinuxeroWirguard with systemd and nftablesLinuxero - 3 CommentsDaniEnd of availability for classic Teams clientDani - 2 CommentsFrankUbuntu 24.04 LTS Noble Numbat availableFrankadmtechDeveloper diary: Release 6.1admtech