News Hafnium-Exploits: Lücken in Exchange Server werden für Spionage genutzt
- Ersteller Jan
- Erstellt am
- Zur News: Hafnium-Exploits: Lücken in Exchange Server werden für Spionage genutzt
Naja wer Exchange Cluster mit DAGs einrichtet der sollte wissen, wie man die Dinger patcht oder sich jemanden suchen, der das kann...
@Gufur Was hast du denn anderes erwartet?^^ WannyCry ging schnell, Shitrix genauso und die ganzen anderen Lücken der VPN-/Firewalls im letzten Jahr (Pulse, Cisco, Fortinet, Palo Alto, Sonicwall, etc.).
Cryptolocker als auch der Handel mit Zugänge zu Systemen und Netzwerken Dritter (um dann Cryptolocker auszurollen) ist ein lukratives Geschäft.
@Gufur Was hast du denn anderes erwartet?^^ WannyCry ging schnell, Shitrix genauso und die ganzen anderen Lücken der VPN-/Firewalls im letzten Jahr (Pulse, Cisco, Fortinet, Palo Alto, Sonicwall, etc.).
Cryptolocker als auch der Handel mit Zugänge zu Systemen und Netzwerken Dritter (um dann Cryptolocker auszurollen) ist ein lukratives Geschäft.
konkretor
Artikeldetektiv
- Registriert
- März 2011
- Beiträge
- 7.230
Alpha.Male
Lt. Commander
- Registriert
- Mai 2011
- Beiträge
- 1.082
2. Kommentar...und schon das übliche (" aber die anderen doch auch ") Whataboutism Gesülze 🥱🙄Cool Master schrieb:Ich bin mir sicher, dass der Exploit auch von NSA, MI5 und DGSE ausgenutzt wurde. Darüber wird aber nicht gesprochen, weil es ja die guten sind
Deine Daten kannst du hingeben wo immer du willst. Ich möchte meine Daten niemanden geben, weder freiwillig noch unfreiwillig. Was an China anders als an Deutschland und den anderen Ländern ist musst du mir erklären. Du scheinst das letzte Jahr allein isoliert im Kellerloch verbracht zu haben?Shelung schrieb:
Ich gehe mal davon aus, dass die Dienste, die im Rahmen von Mircrosoft 365 angeboten werden, die Patches bereits bekommen haben?
Rickmer
Silent-Fanatiker
- Registriert
- Sep. 2009
- Beiträge
- 22.698
Ein paar Tipps an alle Admins die diese Updates installieren sollen, um aus den Fehlern eines unserer Kunden (mit eigener IT) zu lernen:
Das ist ein Update 'built to fail' - für mich ein klarer Fall von 'musste zu früh veröffentlicht werden weil der Exploit schon genutzt wird' weil im Vergleich zu z.B. einem CU-Update fehlt da einiges an Fehlertoleranz...
- Nach Möglichkeit über Windows Updates installieren, sonst umbedingt per Admin-cmd ausführen, nicht einfach doppelclicken und Feuer frei
- Auf keinen Fall auf 'abbrechen' drücken wenn die Installation angelaufen ist. Wenn Fehlermeldungen kommen dass es eine Datei nicht schreiben kann, manuell alle Exchange-Dienste erneut beenden weil die während der Installation wieder angelaufen sind
- Das Scheißteil löscht dlls und falls es irgendwo während dem Update aufhört, dann habt ihr eine Exchange-Installation mit fehlenden Dateien die hinten und vorne nicht funktioniert. Das Patch lässt sich dann auch nicht mehr nochmal versuchen - das schlägt fehl ohne was gemacht zu haben. Dann kann man sich die dlls von einem anderen Exchange-Server derselben Version holen und hoffen, dass das Patch damit durchläuft.
- Falls OWA/ECP danach Fehlermeldungen schmeißen sind UpdateCas.ps1 und UpdateConfig.ps1 im Bin-Verzeichnis euer Freund und Helfer.
Das ist ein Update 'built to fail' - für mich ein klarer Fall von 'musste zu früh veröffentlicht werden weil der Exploit schon genutzt wird' weil im Vergleich zu z.B. einem CU-Update fehlt da einiges an Fehlertoleranz...
Tamron
Commodore
- Registriert
- Juli 2011
- Beiträge
- 4.353
Also, dass man die msp nicht ohne Admin Rechte startet steht leider auch auf der entsprechenden Seite, aber wenn man nicht mal liest was man installiert ...
Ich habe den Fix mehr als zehn Mal nun in unterschiedlichsten Varianten installiert und hatte nur einmal Probleme gehabt.
AV Scanner deaktivieren falls vorhanden, Snapshot durchführen und Abfahrt.
Ich habe den Fix mehr als zehn Mal nun in unterschiedlichsten Varianten installiert und hatte nur einmal Probleme gehabt.
AV Scanner deaktivieren falls vorhanden, Snapshot durchführen und Abfahrt.
Das ist das normale Verhalten eines Exchange Server Updates, was jedem der ein Exchange Server im Einsatz hat bekannt sein sollte. Es wird praktisch wie bei einem Windows 10 Update immer eine Neuinstallation mit Übernahme der Daten gemacht und im Falle vom Exchange, werden danach noch die .NET Komponenten "kompiliert", weshalb nach der Installation der Server eine gewisse Zeit noch unter Vollast läuft.Rickmer schrieb:
Aus dem letzteren Grund darf auf einem Exchange Server auch nie ein .NET Framework Upgrade installiert werden, der nicht von der installierten Exchange Server Version unterstützt wird. Genausowenig darf einfach eine neue Powershell auf so einem Server installiert werden.
Welche Komponenten zu welcher Exchange Server Version kompatibel sind wird hier genau aufgeführt.
https://docs.microsoft.com/de-de/exchange/plan-and-deploy/supportability-matrix?view=exchserver-2019
Wer einen Exchange Server betreibt und dort einfach Brain-AFK Windows Updates drüber bügelt, erlebt früher oder später sowieso sein blaues Wunder. Es gibt gute Gründe wieso Microsoft schon seit Jahren keine SBS Server mit Exchange anbietet und es zu einem reinen Enterprise Produkt gemacht hat.
R
Rotkaeppchen
Gast
Es geht nicht nur um Wirtschaftsspionage. Es geht darum, die Infrastruktur anderer Länder darauf "vorzubereiten" im Fall des Falles abgeschaltet werden zu können. Der nächste Krieg wird nicht mit Bomben ausgeführt. Es reicht, Wasser und Stromversorgung lahm zu legen.Jan schrieb:
Massive Welle von Hackerangriffen gefährdet deutsche Behörden
Sicherheitsexperten sind besorgt: Eine Gruppe aus China soll Zehn-, vielleicht sogar Hunderttausende Organisationen weltweit gehackt haben. Möglich machten das Lücken in einer beliebten Microsoft-Software.https://www.spiegel.de/netzwelt/net...perten-a-1eae06f4-6948-45ac-971a-91406d7980ad
sini
Lieutenant
- Registriert
- Dez. 2012
- Beiträge
- 863
Bei mir ist die Installation der Patches gut gelaufen. Ich habe auch nach verdächtigen ASPX-Daten gesucht, aber manuell nichts weiter finden können. Zumindest nichts was den Beobachtungen von Microsoft selbst entspricht bzw. verdächtigt erscheint.
Beim heutigen Scan des Virenscanners triggert dieser und hat zwei Dateien identifiziert und gelöscht:
Platziert wurden die Dateien scheinbar am 04.03.2021 um 7:31 Uhr
Daten Exfiltration konnte ich bislang nicht nachweisen.
Hack the Planet, sprichwörtlich.
Beim heutigen Scan des Virenscanners triggert dieser und hat zwei Dateien identifiziert und gelöscht:
- C:\inetpub\wwwroot\aspnet_client\discover.aspx (CVE-2021-26855.Webshell.A Trojaner)
- C:\inetpub\wwwroot\aspnet_client\OutlookEN.aspx (CVE-2021-26855.Webshell.B Trojaner)
Platziert wurden die Dateien scheinbar am 04.03.2021 um 7:31 Uhr
Daten Exfiltration konnte ich bislang nicht nachweisen.
Hack the Planet, sprichwörtlich.
Wie bereits gesagt, sind auf jeden Server die von Microsoft genannten Powershell Befehle auszuführen oder das ebenfalls verlinkte Powershell Script.sini schrieb:
Jeder der den Patch nicht direkt am 03.03 installiert hat ist durch die Bekanntmachung noch zusätzlich gefährdet worden und es dürfte einige Trittbrettfahrer gegeben haben, die diese Lücken für eigene Zwecke missbraucht haben.
Wenn auf deinem Server bereits Webshells abgelegt wurden, wird es womöglich nicht die einzige kompromitierung gewesen sein und der "Inetpub" Ordner ist auch nicht der einzige wo sie abgelegt sein könnten.
Zuletzt bearbeitet:
Berlinrider
Commander
- Registriert
- Sep. 2009
- Beiträge
- 2.470
Ergeben sich aus der Meldung auch für den privaten Mailabruf über Exchange Server Auswirkungen?...ich betreibe den Exchange natürlich nicht selbst sondern nutze das Protokoll rein für den Abruf über MS Outlook.
Berlinrider
Commander
- Registriert
- Sep. 2009
- Beiträge
- 2.470
Danke für die Antwort!
Ich vergleiche es im Grunde mit der Heartbleed Geschichte aus 2014. Konnte man ja auch privat getroffen werden aber die Wahrscheinlichkeit war äußerst gering. Einige schalteten ja damals daraufhin auch privat Hyperthreading ab und genauso müsste man ja jetzt den Mailabruf bestenfalls noch aus einer virtuellen Maschine machen
Gruß
Ich vergleiche es im Grunde mit der Heartbleed Geschichte aus 2014. Konnte man ja auch privat getroffen werden aber die Wahrscheinlichkeit war äußerst gering. Einige schalteten ja damals daraufhin auch privat Hyperthreading ab und genauso müsste man ja jetzt den Mailabruf bestenfalls noch aus einer virtuellen Maschine machen
Gruß
Hier eine kleine Zusammenstellung von Tools zur Überprüfung von Exchange Servern auf Kompromittierung.
https://borncity.com/win/2021/03/07/neues-zum-exchange-hack-testtools-von-microsoft-co/
https://borncity.com/win/2021/03/07/neues-zum-exchange-hack-testtools-von-microsoft-co/
Interessant, dass du dir anscheinend den Link nicht mal angeschaut hast, aber gleich eine falsche Behauptung aufstellst.Simanova schrieb:
Wer das bis heute nicht getan hat, hat ganz andere Probleme und braucht auch nicht mehr zu schauen ob sein Server kompromittiert wurde.Simanova schrieb: