Exchange/Hafnium

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15844

06.03.2021 - 19:00

danke aber ich bin eh bei der konkurrenz

Smut

takeover & ether

Registered: Feb 2003
Location: VIE
Posts: 16632

06.03.2021 - 20:01

Zitat aus einem Post von userohnenamen
wenn ihr wirklich schon dienstag auf mittwoch gepatcht hab, gratuliere
schnell mitbekommen und reagiert. ich bzw. wir habens erst mittwoch vormittag erfahren und dann eben am abend alle exchange systeme gepatcht
aber managed dedicated exchange habt ihr nicht oder? d.h. nur 2 systeme de facto (intern und hosted)

War halt sehr spät am Dienstag.
https://arstechnica.com/information...ys-in-exchange/

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15844

06.03.2021 - 20:24

ah danke, ich hab kurz gesucht um eine meldung mit uhrzeit zu finden war aber zu blöd dafür

ich muss am montag mal schauen wann z.B. das cert zeug bei uns angekommen ist
mittwoch mittag kam auf jeden fall dann auch schon direkt was von den microsoft partner kontakten

Jazzman

lurker

Registered: Apr 2001
Location: Wiener Neustadt
Posts: 722

06.03.2021 - 21:18

meh, uns hats auch erwischt. gsd bin ich für den server nicht mehr (mit)verantwortlich. updates wurden MI abend eingespielt. na mal schaun was da noch rauskommt :-/

COLOSSUS

Administrator
Frickler

Registered: Dec 2000
Location: ~
Posts: 11901

06.03.2021 - 21:34

Derlei Monokulturen werden irgendwann das Ende unserer Zivilisation sein.

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 48898

06.03.2021 - 23:16

Zitat aus einem Post von COLOSSUS
Derlei Monokulturen werden irgendwann das Ende unserer Zivilisation sein.

Ja gilt im Softwarebereich noch stärker als wo anders.
Wir überlegen gerade ob wir die Mails aus dem exchange nicht auf unsere Linux Mailserver spiegeln sollten.

questionmarc

Here to stay

Registered: Jul 2001
Location: -
Posts: 5002

08.03.2021 - 16:59

wir haben unsere kunden mit exchange on-premise asap durchgepatcht nach priorität bzw. es allen, die wir nicht proaktiv betreuen halt mitgeteilt.

ein paar kunden sind scheinbar betroffen, das script gibt bei ein paar kunden Suspicious activities aus -> ist die frage: gepatcht ok, aber was kann/soll man jetzt noch tun?

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6301

08.03.2021 - 18:22

Passwörter ändern, Server nach webshells absuchen, Änderungen im Dateisystem und der Netzwerkkonfiguration für den fraglichen Zeitraum auflisten wäre auch ein Idee.

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15844

08.03.2021 - 19:02

wir haben mit heute noch einige housing-kunden die nicht aktuell sind :bash:

ich frag mich echt wie man das nicht mitbekommt bzw. so beinhart ignoriert

@viper: magst mir einen gefallen tun und schauen welches mail ihr da vom cert am dienstag erhalten habt? wenn ihr da schon dienstag was vom cert erhalten habt würd mich das massiv interessieren denn dann muss ich das mal den kollegen weitergeben warum das uns nicht geschickt wurde
weil selbst der MSRC Newsletter ist erst um 23:19 gekommen

COLOSSUS

Administrator
Frickler

Registered: Dec 2000
Location: ~
Posts: 11901

08.03.2021 - 19:03

Also da wo ich herkomme, wiped man nach dem Kompromittiertwerden den Host rueckstandsfrei, installiert gepatcht neu, und restored dann die Daten aus dem letzten guten Backup bzw. von vor dem Wipen.

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6301

08.03.2021 - 19:10

ack COLOSSUS das ist am besten, aber dieses Unterfangen ist bei einem produktiven groupware System wie Exchange mit seiner tiefen Active Directory Integration nichts, was man so einfach aus dem Ärmel schüttelt.

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11118

08.03.2021 - 19:34

Zitat aus einem Post von questionmarc
wir haben unsere kunden mit exchange on-premise asap durchgepatcht nach priorität bzw. es allen, die wir nicht proaktiv betreuen halt mitgeteilt.

ein paar kunden sind scheinbar betroffen, das script gibt bei ein paar kunden Suspicious activities aus -> ist die frage: gepatcht ok, aber was kann/soll man jetzt noch tun?

1. Systeme vom Netz nehmen
2. Verdachtsmeldung bei der Datenschutzbehörde
3. Exchange Neuinstallation und Mailboxen migrieren => unumgänglich, auch wenn es keinen Spaß macht
4. OWA aus dem Nutzungskonzept entfernen, ist je nach Organisation natürlich nicht immer einfach
5. Sofern man noch den Exchange als SMTP verwendet => am besten auch gleich ablösen (PMG,...)

sk/\r

i never asked for this

Registered: Dec 2002
Location: oö
Posts: 10620

08.03.2021 - 19:40

Zitat aus einem Post von Cuero
Hafnium — Krebs on Security

Link: krebsonsecurity.com

Nachdem hier viele im IT Betrieb arbeiten - wie schauts bei euch aus, wie verbringt ihr euer Wochenende, falls ihr Exchange nutzt?

unsere edv ist sich heute am vormittag (0900) draufgekommen, dass was hat...
ergebnis: ganzen vormittag kein mail programm. :rolleyes:

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 48898

08.03.2021 - 20:04

Zitat aus einem Post von userohnenamen
magst mir einen gefallen tun und schauen welches mail ihr da vom cert am dienstag erhalten habt?

Ich schau ob ich es noch finde.
Das war aber nicht cert.at sondern unser Konzern internes Cert.

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 48898

08.03.2021 - 20:07

Zitat aus einem Post von spunz
1. Systeme vom Netz nehmen
2. Verdachtsmeldung bei der Datenschutzbehörde
3. Exchange Neuinstallation und Mailboxen migrieren => unumgänglich, auch wenn es keinen Spaß macht
4. OWA aus dem Nutzungskonzept entfernen, ist je nach Organisation natürlich nicht immer einfach
5. Sofern man noch den Exchange als SMTP verwendet => am besten auch gleich ablösen (PMG,...)

Du vertraust dem AD in solchen Fällen noch?

userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15844	06.03.2021 - 19:00 danke aber ich bin eh bei der konkurrenz
Smut takeover & ether Registered: Feb 2003 Location: VIE Posts: 16632	06.03.2021 - 20:01 Zitat aus einem Post von userohnenamen wenn ihr wirklich schon dienstag auf mittwoch gepatcht hab, gratuliere schnell mitbekommen und reagiert. ich bzw. wir habens erst mittwoch vormittag erfahren und dann eben am abend alle exchange systeme gepatcht aber managed dedicated exchange habt ihr nicht oder? d.h. nur 2 systeme de facto (intern und hosted) War halt sehr spät am Dienstag. https://arstechnica.com/information...ys-in-exchange/
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15844	06.03.2021 - 20:24 ah danke, ich hab kurz gesucht um eine meldung mit uhrzeit zu finden war aber zu blöd dafür ich muss am montag mal schauen wann z.B. das cert zeug bei uns angekommen ist mittwoch mittag kam auf jeden fall dann auch schon direkt was von den microsoft partner kontakten
Jazzman lurker Registered: Apr 2001 Location: Wiener Neustadt Posts: 722	06.03.2021 - 21:18 meh, uns hats auch erwischt. gsd bin ich für den server nicht mehr (mit)verantwortlich. updates wurden MI abend eingespielt. na mal schaun was da noch rauskommt :-/
COLOSSUS Administrator Frickler Registered: Dec 2000 Location: ~ Posts: 11901	06.03.2021 - 21:34 Derlei Monokulturen werden irgendwann das Ende unserer Zivilisation sein.
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 48898	06.03.2021 - 23:16 Zitat aus einem Post von COLOSSUS Derlei Monokulturen werden irgendwann das Ende unserer Zivilisation sein. Ja gilt im Softwarebereich noch stärker als wo anders. Wir überlegen gerade ob wir die Mails aus dem exchange nicht auf unsere Linux Mailserver spiegeln sollten.
questionmarc Here to stay Registered: Jul 2001 Location: - Posts: 5002	08.03.2021 - 16:59 wir haben unsere kunden mit exchange on-premise asap durchgepatcht nach priorität bzw. es allen, die wir nicht proaktiv betreuen halt mitgeteilt. ein paar kunden sind scheinbar betroffen, das script gibt bei ein paar kunden Suspicious activities aus -> ist die frage: gepatcht ok, aber was kann/soll man jetzt noch tun?
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6301	08.03.2021 - 18:22 Passwörter ändern, Server nach webshells absuchen, Änderungen im Dateisystem und der Netzwerkkonfiguration für den fraglichen Zeitraum auflisten wäre auch ein Idee.
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15844	08.03.2021 - 19:02 wir haben mit heute noch einige housing-kunden die nicht aktuell sind ich frag mich echt wie man das nicht mitbekommt bzw. so beinhart ignoriert @viper: magst mir einen gefallen tun und schauen welches mail ihr da vom cert am dienstag erhalten habt? wenn ihr da schon dienstag was vom cert erhalten habt würd mich das massiv interessieren denn dann muss ich das mal den kollegen weitergeben warum das uns nicht geschickt wurde weil selbst der MSRC Newsletter ist erst um 23:19 gekommen
COLOSSUS Administrator Frickler Registered: Dec 2000 Location: ~ Posts: 11901	08.03.2021 - 19:03 Also da wo ich herkomme, wiped man nach dem Kompromittiertwerden den Host rueckstandsfrei, installiert gepatcht neu, und restored dann die Daten aus dem letzten guten Backup bzw. von vor dem Wipen.
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6301	08.03.2021 - 19:10 ack COLOSSUS das ist am besten, aber dieses Unterfangen ist bei einem produktiven groupware System wie Exchange mit seiner tiefen Active Directory Integration nichts, was man so einfach aus dem Ärmel schüttelt.
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11118	08.03.2021 - 19:34 Zitat aus einem Post von questionmarc wir haben unsere kunden mit exchange on-premise asap durchgepatcht nach priorität bzw. es allen, die wir nicht proaktiv betreuen halt mitgeteilt. ein paar kunden sind scheinbar betroffen, das script gibt bei ein paar kunden Suspicious activities aus -> ist die frage: gepatcht ok, aber was kann/soll man jetzt noch tun? 1. Systeme vom Netz nehmen 2. Verdachtsmeldung bei der Datenschutzbehörde 3. Exchange Neuinstallation und Mailboxen migrieren => unumgänglich, auch wenn es keinen Spaß macht 4. OWA aus dem Nutzungskonzept entfernen, ist je nach Organisation natürlich nicht immer einfach 5. Sofern man noch den Exchange als SMTP verwendet => am besten auch gleich ablösen (PMG,...)
sk/\r i never asked for this Registered: Dec 2002 Location: oö Posts: 10620	08.03.2021 - 19:40 Zitat aus einem Post von Cuero Hafnium — Krebs on Security Link: krebsonsecurity.com Nachdem hier viele im IT Betrieb arbeiten - wie schauts bei euch aus, wie verbringt ihr euer Wochenende, falls ihr Exchange nutzt? unsere edv ist sich heute am vormittag (0900) draufgekommen, dass was hat... ergebnis: ganzen vormittag kein mail programm.
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 48898	08.03.2021 - 20:04 Zitat aus einem Post von userohnenamen magst mir einen gefallen tun und schauen welches mail ihr da vom cert am dienstag erhalten habt? Ich schau ob ich es noch finde. Das war aber nicht cert.at sondern unser Konzern internes Cert.
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 48898	08.03.2021 - 20:07 Zitat aus einem Post von spunz 1. Systeme vom Netz nehmen 2. Verdachtsmeldung bei der Datenschutzbehörde 3. Exchange Neuinstallation und Mailboxen migrieren => unumgänglich, auch wenn es keinen Spaß macht 4. OWA aus dem Nutzungskonzept entfernen, ist je nach Organisation natürlich nicht immer einfach 5. Sofern man noch den Exchange als SMTP verwendet => am besten auch gleich ablösen (PMG,...) Du vertraust dem AD in solchen Fällen noch?

Exchange/Hafnium

Forum Index > Digital Life > Internet & Provider

userohnenamen

Smut

userohnenamen

Jazzman

COLOSSUS

Viper780

questionmarc

mr.nice.

userohnenamen

COLOSSUS

mr.nice.

spunz

sk/\r

Viper780

Viper780