Exchange/Hafnium

Cuero

Moderator

Registered: Feb 2001
Location: 2440 Gramatnewsi..
Posts: 3542

06.03.2021 - 08:26

Hafnium — Krebs on Security

Link: krebsonsecurity.com

Nachdem hier viele im IT Betrieb arbeiten - wie schauts bei euch aus, wie verbringt ihr euer Wochenende, falls ihr Exchange nutzt?

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6297

06.03.2021 - 08:32

Verwenden exchange, sind schon gepatcht, waren nicht betroffen.
Wir haben unter der Woche am Abend ein zweistündiges Wartungsfenster eingeschoben.

Trotzdem gruslig wie da mehrere, hochkomplexe Sicherheitslücken zusammengestöpselt wurden, um Adressbücher und E-Mails abzusaugen und Server zu kompromittieren,
ich kann mir kaum ausmalen wie viele Stunden Arbeit in der Entwicklung dieser exploit-chain drinstecken.

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15844

06.03.2021 - 08:50

Mittwoch Abend war lustig ja

erlgrey

formerly known as der~erl

Registered: Aug 2002
Location: Wien
Posts: 4366

06.03.2021 - 09:05

ebenso Mittwoch nacht gepatched.

Cuero

Moderator

Registered: Feb 2001
Location: 2440 Gramatnewsi..
Posts: 3542

06.03.2021 - 09:26

habt ihr eure Logs gescanned?

HAFNIUM targeting Exchange Servers with 0-day exploits - Microsoft Security

Microsoft has detected multiple 0-day exploits being used to attack on-premises versions of Microsoft Exchange Server in limited and targeted attacks. In the attacks observed, threat actors used this vulnerability to access on-premises Exchange servers, which enabled access to email accounts, and install additional malware to facilitate long-term access to victim environments. Microsoft Threat Intelligence Center (MSTIC) attributes this campaign with high confidence to HAFNIUM.

Link: www.microsoft.com

erlgrey

formerly known as der~erl

Registered: Aug 2002
Location: Wien
Posts: 4366

06.03.2021 - 09:44

https://github.com/microsoft/CSS-Ex...e/main/Security
Download Test-ProxyLogon.ps1 hat jedenfalls nix gefunden.

Smut

takeover & ether

Registered: Feb 2003
Location: VIE
Posts: 16627

06.03.2021 - 09:49

kenne welche die es erwischt hat. Ein System sogar selbst analysiert.
Ging extrem schnell. Beim Scanner muss man auf das Ergebnis genau schauen weil auch die scans Mittwoch morgen auf die Autoconfig XML ausschlagen können. Wenn wirklich etwas ist sieht man aber deutlich mehr und auch Mailboxen/email Adressen.

Tipp ist für einen schnellen Check aber gleich mal das inetpub Verzeichnis des IIS zu checken. dort werden webshells und co hochgeladen.

erlgrey

formerly known as der~erl

Registered: Aug 2002
Location: Wien
Posts: 4366

06.03.2021 - 09:50

nach cmd.exe oder powershell.exe als child process vom w3wp Ausschau halten, inetpub durchschauen war auch das erste was ich gemacht hab.

Cuero

Moderator

Registered: Feb 2001
Location: 2440 Gramatnewsi..
Posts: 3542

06.03.2021 - 09:52

Ich bin jetzt durch fürs erste und mir eigentlich sicher, dass wir nicht betroffen sind - gepatcht hat unser Dienstleister Donnerstag nachmittag, die sind von sich aus damit auch beschäftigt, ihre Kunden durchzuschauen, ich hab aber jetzt selbst alle Scripts, die es von offizieller Seite gibt, durchgeschaut und auch die Indicators of Compromise geprüft und wir dürften Glück gehabt haben...

Wir sollten wieder Schreibmaschinen anschaffen für alle, das macht weniger Arbeit...

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 48859

06.03.2021 - 15:06

Zitat aus einem Post von Cuero
Hafnium — Krebs on Security

Link: krebsonsecurity.com

Nachdem hier viele im IT Betrieb arbeiten - wie schauts bei euch aus, wie verbringt ihr euer Wochenende, falls ihr Exchange nutzt?

Dienstag Abend/Nacht war für unsere SysOps spannend und wenig erholsam.
Alle Kundensysteme gepatched, internes OWA abgedreht und erste Mitigation in Stellung gebracht.
Backup Systeme und Reserve Systeme vom Netz genommen.

Mittwoch Nachmittag war dann alles wieder wie vorher - nur ein paar Filterrules auf der Firewall mehr

Cuero

Moderator

Registered: Feb 2001
Location: 2440 Gramatnewsi..
Posts: 3542

06.03.2021 - 16:55

Zitat aus einem Post von Viper780
Dienstag Abend/Nacht war für unsere SysOps spannend und wenig erholsam.
Alle Kundensysteme gepatched, internes OWA abgedreht und erste Mitigation in Stellung gebracht.
Backup Systeme und Reserve Systeme vom Netz genommen.

Mittwoch Nachmittag war dann alles wieder wie vorher - nur ein paar Filterrules auf der Firewall mehr

Klingt gut, wo krieg ich ein angebot für exchange für ~200 user?

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15844

06.03.2021 - 18:34

wenn ihr wirklich schon dienstag auf mittwoch gepatcht hab, gratuliere
schnell mitbekommen und reagiert. ich bzw. wir habens erst mittwoch vormittag erfahren und dann eben am abend alle exchange systeme gepatcht
aber managed dedicated exchange habt ihr nicht oder? d.h. nur 2 systeme de facto (intern und hosted)

UnleashThebeast

Mr. Midlife-Crisis

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3457

06.03.2021 - 18:37

Bei uns wurde Mittwoch während Business Hours ( :eek:

) gepatcht, ca 14-16:00 kompletter Exchange down mit Ankündigung um 13:45, waren a paar lustige Anrufe.

Cuero

Moderator

Registered: Feb 2001
Location: 2440 Gramatnewsi..
Posts: 3542

06.03.2021 - 18:46

Angesichts der dramatik nachvollziehbar, ich hätte das telefon einfach abgedreht und gewerkt. Leider fehlt uns personal, um solche dinge intern zu betreiben...

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 48859

06.03.2021 - 18:51

Zitat aus einem Post von Cuero
Klingt gut, wo krieg ich ein angebot für exchange für ~200 user?

https://www.world4you.com/de/server...d-exchange.html

schreib mir eine PM mit deinen Kontaktdaten - ich leite die dann Intern weiter.

Zitat aus einem Post von userohnenamen
wenn ihr wirklich schon dienstag auf mittwoch gepatcht hab, gratuliere
schnell mitbekommen und reagiert. ich bzw. wir habens erst mittwoch vormittag erfahren und dann eben am abend alle exchange systeme gepatcht
aber managed dedicated exchange habt ihr nicht oder? d.h. nur 2 systeme de facto (intern und hosted)

Da hat das CERT vom Konzern frühzeitig was läuten gehört und unsere Leute wach gehalten.

Nein dedicated exchange haben wir nicht - die Anpassungen in der Software müssten sich dafür aber in Grenzen halten.
Komplette Exchange Server Infrastruktur inkl AD müsste halt nochmal hin gestellt werden.

Gilt natürlich auch für dich, schick mir die Eckdaten per PM und ich klärs mal ab. Neue Produktschiene ist aber immer etwas schwieriger.

Zitat aus einem Post von UnleashThebeast
Bei uns wurde Mittwoch während Business Hours () gepatcht, ca 14-16:00 kompletter Exchange down mit Ankündigung um 13:45, waren a paar lustige Anrufe.

Bei uns um 8:30 angekündigt dass wir von 11:30 bis 13:30 auf die Mails verzichten müssen. War dann aber in 45min wieder da.

Cuero Moderator Registered: Feb 2001 Location: 2440 Gramatnewsi.. Posts: 3542	06.03.2021 - 08:26 Hafnium — Krebs on Security Link: krebsonsecurity.com Nachdem hier viele im IT Betrieb arbeiten - wie schauts bei euch aus, wie verbringt ihr euer Wochenende, falls ihr Exchange nutzt?
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6297	06.03.2021 - 08:32 Verwenden exchange, sind schon gepatcht, waren nicht betroffen. Wir haben unter der Woche am Abend ein zweistündiges Wartungsfenster eingeschoben. Trotzdem gruslig wie da mehrere, hochkomplexe Sicherheitslücken zusammengestöpselt wurden, um Adressbücher und E-Mails abzusaugen und Server zu kompromittieren, ich kann mir kaum ausmalen wie viele Stunden Arbeit in der Entwicklung dieser exploit-chain drinstecken.
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15844	06.03.2021 - 08:50 Mittwoch Abend war lustig ja
erlgrey formerly known as der~erl Registered: Aug 2002 Location: Wien Posts: 4366	06.03.2021 - 09:05 ebenso Mittwoch nacht gepatched.
Cuero Moderator Registered: Feb 2001 Location: 2440 Gramatnewsi.. Posts: 3542	06.03.2021 - 09:26 habt ihr eure Logs gescanned? HAFNIUM targeting Exchange Servers with 0-day exploits - Microsoft Security Microsoft has detected multiple 0-day exploits being used to attack on-premises versions of Microsoft Exchange Server in limited and targeted attacks. In the attacks observed, threat actors used this vulnerability to access on-premises Exchange servers, which enabled access to email accounts, and install additional malware to facilitate long-term access to victim environments. Microsoft Threat Intelligence Center (MSTIC) attributes this campaign with high confidence to HAFNIUM. Link: www.microsoft.com
erlgrey formerly known as der~erl Registered: Aug 2002 Location: Wien Posts: 4366	06.03.2021 - 09:44 https://github.com/microsoft/CSS-Ex...e/main/Security Download Test-ProxyLogon.ps1 hat jedenfalls nix gefunden.
Smut takeover & ether Registered: Feb 2003 Location: VIE Posts: 16627	06.03.2021 - 09:49 kenne welche die es erwischt hat. Ein System sogar selbst analysiert. Ging extrem schnell. Beim Scanner muss man auf das Ergebnis genau schauen weil auch die scans Mittwoch morgen auf die Autoconfig XML ausschlagen können. Wenn wirklich etwas ist sieht man aber deutlich mehr und auch Mailboxen/email Adressen. Tipp ist für einen schnellen Check aber gleich mal das inetpub Verzeichnis des IIS zu checken. dort werden webshells und co hochgeladen.
erlgrey formerly known as der~erl Registered: Aug 2002 Location: Wien Posts: 4366	06.03.2021 - 09:50 nach cmd.exe oder powershell.exe als child process vom w3wp Ausschau halten, inetpub durchschauen war auch das erste was ich gemacht hab.
Cuero Moderator Registered: Feb 2001 Location: 2440 Gramatnewsi.. Posts: 3542	06.03.2021 - 09:52 Ich bin jetzt durch fürs erste und mir eigentlich sicher, dass wir nicht betroffen sind - gepatcht hat unser Dienstleister Donnerstag nachmittag, die sind von sich aus damit auch beschäftigt, ihre Kunden durchzuschauen, ich hab aber jetzt selbst alle Scripts, die es von offizieller Seite gibt, durchgeschaut und auch die Indicators of Compromise geprüft und wir dürften Glück gehabt haben... Wir sollten wieder Schreibmaschinen anschaffen für alle, das macht weniger Arbeit...
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 48859	06.03.2021 - 15:06 Zitat aus einem Post von Cuero Hafnium — Krebs on Security Link: krebsonsecurity.com Nachdem hier viele im IT Betrieb arbeiten - wie schauts bei euch aus, wie verbringt ihr euer Wochenende, falls ihr Exchange nutzt? Dienstag Abend/Nacht war für unsere SysOps spannend und wenig erholsam. Alle Kundensysteme gepatched, internes OWA abgedreht und erste Mitigation in Stellung gebracht. Backup Systeme und Reserve Systeme vom Netz genommen. Mittwoch Nachmittag war dann alles wieder wie vorher - nur ein paar Filterrules auf der Firewall mehr
Cuero Moderator Registered: Feb 2001 Location: 2440 Gramatnewsi.. Posts: 3542	06.03.2021 - 16:55 Zitat aus einem Post von Viper780 Dienstag Abend/Nacht war für unsere SysOps spannend und wenig erholsam. Alle Kundensysteme gepatched, internes OWA abgedreht und erste Mitigation in Stellung gebracht. Backup Systeme und Reserve Systeme vom Netz genommen. Mittwoch Nachmittag war dann alles wieder wie vorher - nur ein paar Filterrules auf der Firewall mehr Klingt gut, wo krieg ich ein angebot für exchange für ~200 user?
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15844	06.03.2021 - 18:34 wenn ihr wirklich schon dienstag auf mittwoch gepatcht hab, gratuliere schnell mitbekommen und reagiert. ich bzw. wir habens erst mittwoch vormittag erfahren und dann eben am abend alle exchange systeme gepatcht aber managed dedicated exchange habt ihr nicht oder? d.h. nur 2 systeme de facto (intern und hosted)
UnleashThebeast Mr. Midlife-Crisis Registered: Dec 2005 Location: 127.0.0.1 Posts: 3457	06.03.2021 - 18:37 Bei uns wurde Mittwoch während Business Hours () gepatcht, ca 14-16:00 kompletter Exchange down mit Ankündigung um 13:45, waren a paar lustige Anrufe.
Cuero Moderator Registered: Feb 2001 Location: 2440 Gramatnewsi.. Posts: 3542	06.03.2021 - 18:46 Angesichts der dramatik nachvollziehbar, ich hätte das telefon einfach abgedreht und gewerkt. Leider fehlt uns personal, um solche dinge intern zu betreiben...
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 48859	06.03.2021 - 18:51 Zitat aus einem Post von Cuero Klingt gut, wo krieg ich ein angebot für exchange für ~200 user? https://www.world4you.com/de/server...d-exchange.html schreib mir eine PM mit deinen Kontaktdaten - ich leite die dann Intern weiter. Zitat aus einem Post von userohnenamen wenn ihr wirklich schon dienstag auf mittwoch gepatcht hab, gratuliere schnell mitbekommen und reagiert. ich bzw. wir habens erst mittwoch vormittag erfahren und dann eben am abend alle exchange systeme gepatcht aber managed dedicated exchange habt ihr nicht oder? d.h. nur 2 systeme de facto (intern und hosted) Da hat das CERT vom Konzern frühzeitig was läuten gehört und unsere Leute wach gehalten. Nein dedicated exchange haben wir nicht - die Anpassungen in der Software müssten sich dafür aber in Grenzen halten. Komplette Exchange Server Infrastruktur inkl AD müsste halt nochmal hin gestellt werden. Gilt natürlich auch für dich, schick mir die Eckdaten per PM und ich klärs mal ab. Neue Produktschiene ist aber immer etwas schwieriger. Zitat aus einem Post von UnleashThebeast Bei uns wurde Mittwoch während Business Hours () gepatcht, ca 14-16:00 kompletter Exchange down mit Ankündigung um 13:45, waren a paar lustige Anrufe. Bei uns um 8:30 angekündigt dass wir von 11:30 bis 13:30 auf die Mails verzichten müssen. War dann aber in 45min wieder da.

Exchange/Hafnium

Forum Index > Digital Life > Internet & Provider

Cuero

mr.nice.

userohnenamen

erlgrey

Cuero

erlgrey

Smut

erlgrey

Cuero

Viper780

Cuero

userohnenamen

UnleashThebeast

Cuero

Viper780