coreknabe
12.03.2021, aktualisiert um 11:51:02 Uhr
view5940
view5
7
Goto Top

HAFNIUM - Maßnahmen und mögliche Folgen

TippInternetE-Mail
Moin,

in letzter Zeit gab es auch hier viele verschiedene Beiträge zur HAFNIUM-Attacke auf Exchange-Server.

Mit diesem Beitrag würde ich gern eigene Erfahrungen schildern und dem einen oder anderen vielleicht hilfreiche Tipps geben. Antwortet gern, inwiefern Ihr betroffen seid bzw. was Ihr getan habt, um das Problem einzudämmen oder gar zu beseitigen.

Vorab: Ich hatte gestern ein ausführliches Gespräch mit einem Dienstleister aus dem Bereich IT-Sicherheit, da auch ich natürlich mindestens verunsichert war. Dieser Dienstleister betreibt Pentesting für seine Kunden und hat auch schon einige Infektionen analysiert (ohne Anspruch auf Vollständigkeit, die Untersuchungen dauern an, es ist eben komplex). Es ist immer wieder zu lesen, was HAFNIUM angeblich im Netz angerichtet hat:
  • Das GESAMTE AD ist befallen! Bei Geräten wird ein manipuliertes BIOS eingespielt!
  • Berechtigungen auf Fileservern werden geändert!
  • Es werden plötzlich neue AD-Gruppen eingerichtet, neuen Benutzern werden Admin-Rechte vergeben!

Handlungsempfehlung: ALLES NEU MACHEN, KOMPLETT!

MEINE eigene Einschätzung und auch die des Dienstleisters:
  • Es handelt sich zuallererst um eine automatisierte (!) Attacke auf MAILserver.
  • Da weltweit Hunderttausende Systeme betroffen sind, ist in jedem Fall im zweiten Schritt Handarbeit der Angreifer nötig, die gesammelten Infos müssen ausgewertet werden. Das macht niemand mal eben im Vorbeigehen. Außerdem, so wichtig sich hier jeder einzelne auch fühlen mag, mit Sicherheit sind lohnenswertere Ziele befallen, deren Auswertung Vorrang hat!
  • Vermutung: Wer jetzt eine ganze Reihe anderer Probleme hat, wurde denn vorher richtig hingeschaut? Oder war diese Geschichte jetzt der Anlass, sich das Netzwerk mal genauer anzusehen? Gibt es dies Probleme vielleicht schon länger?
  • Mal drüber nachdenken: Wenn ich behaupte, dass auch Geräte wie Drucker befallen sind, setzt das nicht voraus, dass die Angreifer wissen, um welche Druckermodelle es sich handelt? Das ist aus meiner Sicht automatisiert nur begrenzt zu machen, gibt schließlich mehr als ein Modell. Im Zweifel hat ein Angreifer sich im Netz schon mal genauer umgesehen und Informationen gesammelt.


Was ICH nach Installation des Patches getan habe:
  • Leider erst am 04.03.2021 realisiert, dass es diesen Microsoft-Patch gibt. Asche auf mein Haupt, ich weiß.
  • Skript Test-ProxyLogon laufen lassen: https://github.com/microsoft/CSS-Exchange/tree/main/Security
  • Ergebnis 
    #TYPE Selected.System.Management.Automation.PSCustomObject
"DateTime","RequestId","ClientIpAddress","UrlHost","UrlStem","RoutingHint","UserAgent","AnchorMailbox","HttpStatus"  
"2021-03-03T04:29:56.247Z","03304c0c-b7e7-483c-b999-8a9dbbf3b121","86.105.18.116","exchange.domaene.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200"  
"2021-03-03T06:52:47.704Z","cf47ef47-d766-42ef-a970-99dcf965757e","130.255.189.21","exchange.domaene.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200"  
"2021-03-03T07:06:39.161Z","15443f77-3445-44bc-9f2f-1c9fd856b081","86.105.18.116","exchange.domaene.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200"  
"2021-03-03T07:52:37.541Z","756ac685-6bbd-4467-a822-72d5e79382d6","86.105.18.116","xxx.xxx.xxx.xxx","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200"  
"2021-03-03T10:43:47.192Z","c2f5b646-5fad-4f50-8cdd-f60d58d1af00","86.105.18.116","exchange.domaene.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200"  
"2021-03-03T11:22:08.445Z","64561d4a-0753-4115-8597-1eadb43ea141","86.105.18.116","xxx.xxx.xxx.xxx","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200"  
"2021-03-04T16:19:05.672Z","5124c0e6-c837-41bb-9e89-847dbfead704","103.142.141.180","exchange.domaene.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200"  
"2021-03-04T17:28:52.355Z","bb9a67b9-2f7d-48e6-ac50-3316c1b645f3","103.142.141.180","exchange.domaene.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH.domaene.de:444/autodiscover/autodiscover.xml?#","200"
Autsch, sieht nicht gut aus, am Zeilenende der HTTP-Code 200, also erfolgreiche Verbindung...
Nichts gefunden...
Nichts gefunden
  • Scannen mit unserem Virenscanner (Sophos)
Nichts gefunden
Nichts gefunden
Nichts gefunden
  • Checken der Firewall-Logs und des IPS
Es finden sich einige ausländische Zugriffsversuche mittels HTTPS, die aber geblockt wurden. Die IPs aus dem Test-ProxyLogon tauchen nicht mehr auf.
  • Mit unserer Netwrix-Installation (sehr hilfreich in diesem Fall!) auf Änderungen im AD und auf den Servern geprüft
Keine Auffälligkeiten
  • Rücksicherung einer sauberen Exchange-Installation (nur Systempartition)
  • Erneute Tests mit Test-Proxy-Logon
Nichts gefunden

Sinnvolle Maßnahmen:

Vielleicht hilft das jemandem!

Gruß

EDIT: Noch zwei sinnvolle Maßnahmen hinzugefügt face-smile
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 661822

Url: https://administrator.de/contentid/661822

Ausgedruckt am: 21.11.2024 um 13:11 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
C.R.S.
C.R.S. 12.03.2021 um 16:35:25 Uhr
Goto Top
Zitat von @Coreknabe:

MEINE eigene Einschätzung und auch die des Dienstleisters:
  • Es handelt sich zuallererst um eine automatisierte (!) Attacke auf MAILserver.

"Zuallererst" in zeitlicher Hinsicht sicher nicht. Natürlich wird es von jedermann automatisiert, wenn schon der Patch verfügbar ist. Daraus lässt sich keine Handlungsempfehlung ableiten. Ebenso kann man zu denjenigen gehören, die es Monate vorher erwischt hat.
Niemand wirft automatisiert mit 0-Days um sich. Bis Anfang März lief es im Wesentlichen manuell und die Angreifer haben sich auch weiter vorgearbeitet und Persistenz hergestellt, wo es möglich war.

* Da weltweit Hunderttausende Systeme betroffen sind, ist in jedem Fall im zweiten Schritt Handarbeit der Angreifer nötig, die gesammelten Infos müssen ausgewertet werden. Das macht niemand mal eben im Vorbeigehen. Außerdem, so wichtig sich hier jeder einzelne auch fühlen mag, mit Sicherheit sind lohnenswertere Ziele befallen, deren Auswertung Vorrang hat!

Jetzt sind ja auch tausende Angreifer involviert.

Grüße
Richard
Coreknabe
Coreknabe 12.03.2021 aktualisiert um 17:38:05 Uhr
Goto Top
Hi Richard,

danke für Deinen Kommentar.

Du hast mit Deinen Argumenten sicher einen Punkt. Habe vorhin noch ein Sophos-Webinar zum Thema gesehen, vermutlich laufen erste Angriffe schon seit November 2020. Aaaaber: Diese Angriffe wurden von Profis organisiert und hatten definierte Ziele, die haben nicht mit der Schrotflinte ins Grüne geschossen. Macht ja auch keinen Sinn, wenn ich vorerst möglichst verborgen bleiben will und mich auf bestimmte Ziele konzentriere.
Die ganzen Trittbrettfahrer sind ja erst später dazugekommen. Aber auch die verfügen a) weder über unbegrenzte Ressourcen und b) kann man nicht davon ausgehen, dass die sich arbeitsteilig absprechen. Und auch hier sucht der geneigte Angreifer sicher Ziele, die lohnender erscheinen als die Bowlingbedarf GmbH und Co KG. Bei der Masse der betroffenen Server ist es schlicht unwahrscheinlich, dass sofort alle Möglichkeiten genutzt werden können. Das ergibt für uns als Admins ein kleines Zeitfenster, das wollte ich damit u.a. ausdrücken.

Gruß
kgborn
kgborn 16.03.2021 um 11:03:11 Uhr
Goto Top
Habe es mal im ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren in einem Kommentar mit verlinkt - danke.
ultiman
ultiman 16.03.2021 aktualisiert um 21:39:56 Uhr
Goto Top
Danke für deine Mühe.
Wir sind auch am 3.3. morgens 2x von dieser Adresse aus Holland geprobt worden. Vermutlich wurde gesammelt und ausgewertet ob die Ziele lohnenswert sind. Am Nachmittag haben wir aktualisiert und danach auch nichts gefunden. Ein befreundetet Unternehmen hat ein Script in der OAB Ablage gefunden, das beim nächsten erzeugen eines neuen OAB mit Systemrechten ausgeführt worden wäre.
gruss ULTI

hier ein interner Hinweis
Neues Tool von Microsoft: Exchange-Server mit wenigen Klicks absichern

und MS hafnium-targeting-exchange-servers

und das BSI nicht vergessen
Hilfe vom BSI
Coreknabe
Coreknabe 17.03.2021 um 09:30:57 Uhr
Goto Top
@kgborn
Vielen Dank!

@ultiman
Danke auch für Deine Ergänzungen.
TippInternetE-Mail
Mehr von CoreknabeCoreknabeExchange 2019 - Automatisches Leeren der PapierkörbeCoreknabe - 1 KommentarCoreknabePatchday November 2024Coreknabe - 11 KommentareCoreknabeNetApp-SchulungCoreknabe - 8 KommentareCoreknabeSPF-Check Exchange 2019Coreknabe
Heiß diskutiert
user217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 16 Kommentaresuperfun2k24SSL VPN an Sophos UTM sehr langsamsuperfun2k24 - 16 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareZZaaiiggaaEDIFACT - Keins vorhanden ?ZZaaiiggaa - 11 KommentareManuManu2021Verpasster Anruf von +49-030-123456 mit einer Mobilfunk Prepaid SIMManuManu2021 - 11 Kommentare