Exchange 2019 / MSExchangeHMWorker.exe / verdächtige Verbindungen

littleSwag

Banned
Registriert
Mai 2024
Beiträge
3
Hallo zusammen,

hänge aktuell an einem Problem und komme nicht wirklich weiter. Vor paar Tagen wurde die Firewall getauscht, beim Auswerten der Logs sind mir Verbindungen zu 3 privaten Adressen aufgefallen, die es gar nicht inder Umgebung gibt - also die kompletten Netze gibt es nicht.

Screenshot 2024-05-02 232916.png

Verursacht werden die Verbindungen durch den Prozess "MSExchangeHMWorker.exe", ca. alle 5min. An der Firewall werden die Anfragen zwar verworfen, aber möchte doch wissen woher diese kommen, finde nur weder auf dem Exchange noch im Netz irgendeinen Anhaltspunkt dazu, evt. kann sich jemand ein Reim machen?

Hab die Maschine natürlich als erstes auf Schadsoftware geprüft bzw die letzten bekannten Schwachstellen, System wurde aber auch direkt mit CU14 aufgesetzt, EP ist aktiv.

Grüße
 
Kannst ja mal nen Sniffer auf dem Exchange laufen lassen, DNS flushen und schauen, welche Hosts aufgelöst werden kurz bevor diese IPs kontaktiert werden.
Das gibt dir vielleicht einen Hinweis, was da abgeht.

Was will MSExchangeHMWorker.exe denn an diese IPs senden?
Ergänzung ()

Hab mal meinen Exchange für ~10 Minuten gesnifft, der verbindet nur mit anderen Exchange servern, Domain Controllern und dem SCCM server..
 
Zuletzt bearbeitet:
littleSwag schrieb:
evt. kann sich jemand ein Reim machen?
Zu wenig Infos um etwas sagen zu können. Es fehlen Details, wie Netzwerkonfiguration vom Exchange, welche Ports werden zu den IP-Adressen genutzt uvm.

Das einzige was derzeit Fakt, es handelt sich um IP-Adressen aus einem privaten Netzwerk.

CU
redjack
 
1714756162930.png


hier mal ein Beispiellog. Der Exchange (.201) fragt den eingetragenene DNS Forwarder an (.254) und danach mir die unbekannte private Adressen.

DNS Auflösung an sich passt.
 

Anhänge

  • 1714756075131.png
    1714756075131.png
    24,2 KB · Aufrufe: 95
Du könntest mal versuchen, nachzuvollziehen, wo die 10.64.0.0/sonstwas IPs her kommen. Das ist ja alles im privaten 10.0.0.0/8 IP-Bereich, das wird sich also über irgendein Gerät im Netzwerk geroutet werden müssen.

Wenn die Firewall bei euch das Natting zwischen Netzen übernimmt, muss die das Netz ja kennen...

edit: Außer es wurde ein VPN-Client direkt auf dem Exchange installiert und der Zugriff erfolgt darüber. Dann sollte aber per 'route print' ein Eintrag für das Netz vorhanden sein.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: kartoffelpü und qiller
Ich vermute das ist "irgendein was auch immer Filter" von der Firewall oder oder oder.

Cu
redjack
 
gibt kein VPN, weder site2site, noch für clientzugriff (noch direkt geöffnet ports oder so ein mist), alle weiteren lokalen vlans/netzte liegen ebenfalls im 192.168.XXX. Bereich. 10.x.x.x wird nicht verwendet, gibt auch keine Verbindung zu solchen Netzen - daher rätsel ich ja so bisschen wo das her kommt.

Filter, SecurityServices zu testzwecken mal deaktiviert, ändert nichts.
 
Der Exchange sollte NIE den DNS Forwarder ansprechen sondern immer und ausschließlich den AD DNS Server.
Versuch mal alle anderen DNS Server rauszunehmen und nur die AD DNS am Exchange zu verwenden ob das etwas an dem Phänomen ändert.
 
@nubi80 les nochmal den Beitrag und die Logs, vielleicht kommst du selber drauf -_-
 
ich komm nicht drauf, erleuchte mich doch mal...

was ist mit der host Datei?
 
Naja, irgendwas auf dem Exchange-Server will jedenfalls ne DNS-Auflösungsanfrage an diese 10er IPs schicken. Da wir weder Netzaufbau noch die installierten Dienste des Exchange-Servers und deren Konfig kennen, ist das reines Rätselraten. Wo im Netzwerk befindet sich überhaupt die FW, wenn Verbindungen zwischen 192.168.200.201 und 192.168.200.254, die sich bei einer vermuteten /24-Netzmaske ja im selben logischen Netz befinden, mitgeloggt werden können. Da wird doch gar nichts geroutet. Oder ist das sone Software-Firewall aufm Exchange-Server? Ich kapier nichtmal den Aufbau^^.
 
  • Gefällt mir
Reaktionen: redjack1000
Zurück
Oben