none
Exchange 2013 HAFNIUM Infektion RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Guten Abend

    Ich konnte leider das KB5000871 nicht installieren, da mir noch das CU23 fehlt. CU23 lässt sich allerdings aufgrund fehlender Berechtigung auf den Pfad "C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth" fehlt. 

    Nach etwas Recherche und Tracking bin ich überzeugt, dass es den Exchange Server erwischt hat. Die Berechtigungen stimmen nicht mehr mit denen auf dem Backup von vor zwei Wochen überein. Zudem wurde gestern ein verdächtiges ASPX File von Kaspersky gefunden und in die Quarantäne verschoben. Nun die Frage:

    Wie kann ich -ohne den Sicherheitspatch zu installieren- die bereits von der Infektion getätigten Änderungen rückgängig machen? Gibt es dazu irgend einen Artikel? Habe leider trotz intensiver Suche nichts gefunden. 

    Vielen Dank schon im Voraus.

    Montag, 8. März 2021 19:33
    |

Alle Antworten

  • Question
    Anmelden
    2
    Anmelden

    Hallo,

    Versuchs mal hiermit: https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download

    Grüße

    • Als Antwort vorgeschlagen david8921 Dienstag, 9. März 2021 12:57
    • Nicht als Antwort vorgeschlagen david8921 Dienstag, 9. März 2021 12:57
    Montag, 8. März 2021 22:19
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    Versuchs mal hiermit: https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download

    Grüße


    Hi Jens

    Vielen Dank für die Antwort. Ist es sicher, dieses Tool zu benutzen? Ich habe an einigen Orten gelesen, dass es im Zweifelsfall verdächtige Daten löscht, welche aber auch für die Funktionalität von Exchange wichtig sind.

    Dienstag, 9. März 2021 06:37
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo, 

    fehlende Berechtigung auf den Pfad "C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth" hatte ich auch.

    Allerdings war ich da nicht in der Rolle des ExchangeAdministrator angemeldet, danach gings. Aber ja, CU23 ist Voraussetzung.

    Dienstag, 9. März 2021 11:10
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi, 

    also ich habe das Tool bei unserem Exchange Server 2016 benutzt. 

    Es wurde auch eine Infizierung gefunden und gelöscht (Exploit:ASP/CVE2021-27065.B!dha)

    Da ich hier keine Links versenden darf, findest du diesen Artikel auch wenn du über Google suchst: Microsoft's MSERT tool now finds web shells from Exchange Server attacks

    Aber ja, du hast Recht.. Das Tool löscht sofort - ohne nachfragen - gefundene Bedrohungen. 

    Dass da im evtl. sogar im worst case was systemrelevantes dabei ist, ist möglich, bei mir war es allerdings nicht so.. 

    Gruß




    • Bearbeitet david8921 Dienstag, 9. März 2021 12:48
    Dienstag, 9. März 2021 12:39
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich habe mich nach reichlicher Überlegung zu folgendem Schritt entschieden: Ich habe eine Replikation des Exchange von vor ca. 2 Wochen. Werde vom produktiven Exchange die VMDKs abhängen, und der Replikation anhängen. Danach CU und Patch installieren. Da die EDBs und Logs auf der separaten Disk liegen sollte das problemlos gehen. Hinweise auf Kompromittierung auf DBs habe ich keine gefunden.

    Drückt mir die Daumen.

    Dienstag, 9. März 2021 15:44
    |
  • Question
    Anmelden
    2
    Anmelden
    es funktioniert genau wie ein Virenscanner. Defender lässt du ja auch laufen. Ich habe es auf 2 Exchange laufen lassen und es wurde keine Dateien gefunden und auch keine anderen produktive  Dateien gelöscht. du kannst es also bedenkenlos starten

    Chris

    Dienstag, 9. März 2021 16:55
    |
  • Question
    Anmelden
    0
    Anmelden

    Update:

    Der Security Scanner hat auf einem der betroffenen Server eine Webshell Namens Trojan:JS/Chopper!dha gefunden. Die Datei wurde entfernt.

    Weiter habe ich für die betroffenen Verzeichnisse die Berechtigungen wiederhergestellt. Danach konnte das aktuellste CU erfolgreich installiert werden. Auch das Sicherheitsupdate wurde installiert.

    Mittwoch, 10. März 2021 14:16
    |
  • Question
    Anmelden
    0
    Anmelden

    Kurze Frage zum Security Scanner:

    Was kann das sein, wenn der Scanner während des Scanvorgangs 4 infizierte Dateien meldet, aber am Schluss mitteilt, dass keine infizierten Dateien gefunden wurden? Hat diese Erfahrung sonst noch jemand gemacht?

    Donnerstag, 11. März 2021 10:02
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo, C3dy,

    ist die Thematik abgeklärt?

    Wenn Dir die Tipps weitergeholfen haben, markiere bitte die entsprechenden Beiträge, die zur Lösung geführt haben, als Antworten. Wenn Du eine andere Lösung gefunden hast, bitte teile sie der Community mit, sodass auch andere Benutzer davon profitieren können.

    Grüße,

    Mihaela

    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Mittwoch, 31. März 2021 15:36
    |
    Moderator