none
Hafnium Angriff? RRS feed

  • Frage

  • Ich habe das Script "Test-ProxyLogon.ps1" auf unserem Exchange Server 2016 laufen lassen und folgendes Ergebnis bekommen:

    2021-03-05T23:52:56.228Z," .... ,"XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@XXX:444/autodiscover/autodiscover.xml?#","XXX"

    2021-03-05T23:52:56.228Z," .... ,"XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@XXX:444/ecp/proxyLogon.ecp?#","XXX"

    2021-03-05T23:52:56.228Z," .... ,"XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@XXX:444/ecp/DDI/DDIService.svc/GetList?msExchEcpCanary.....

    2021-03-05T23:52:56.228Z," .... ,"XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@XXX:444/ecp/DDI/DDIService.svc/SetObject?msExchEcpCanary.....

    Das CU19, sowie das Sicherheitsupdate habe ich erst am 06.03.21 eingespielt. 

    Allerdings bin ich auf den verschiedensten Seiten immer auf /ecp/y.js und nicht wie bei mir auf /ecp/program.js, sowie auf den User python-requests/x.xx.x und nicht wie bei mir "ExchangeServicesClient/0.0.0.0" gestoßen.

    War dies nur ein Angriffsversuch, oder hat hier tatsächlich ein Angriff stattgefunden? Auch im Event Log finde ich keine verdächtigen Einträge..

    Über jede Hilfe und/oder jeden Rat bin ich mehr als dankbar!

    Viele Grüße,


    Sonntag, 7. März 2021 14:48

Alle Antworten

  • Moin,

    das muss kein *Hafnium*-Angriff sein, denn Hafnium hat diese Sicherheitslücke nicht gepachtet. Aber ja, wenn Du das siehst und der Server zu diesem Zeitpunkt nicht gepatcht und rebootet war, war der Angriff erfolgreich.

    Ein Scan mit dem Safety Scanner kann hilfreich sein und teilweise sogar helfen, den bereits erfolgreichen Angriff zu bekämpfen. Eine Gewissheit, sofern es sie bei IT-Security überhaupt geben kann, verschafft nur ein sorgfältiges und umfassendes Security Audit der gesamten Umgebung.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Sonntag, 7. März 2021 15:08
  • Hallo Evgenij,

    Vielen Dank für den Tipp mit dem Safety Scanner.

    Der Scan hat tatsächlich eine Infizierung gefunden: "Exploit:ASP/CVE2021-27065.B!dha" 

    Diese Infizierung wurde lt. des Safety Scanner erfolgreich entfernt. 

    Nun meine Frage, sollte also hier nun alles Safe sein, oder besteht dennoch weiterhin die Möglichkeit das Angreifer Zugriff auf das System haben? 

    Vielen Dank 

    Sonntag, 7. März 2021 16:52
  • Hast du den Safety Scanner am Exchange ausgeführt. Der entfernet ja sofort ohne Rückfrage alle verdächtigen File, was mich bisher noch abgehalten hat ihn auszuführen. 

    Chris

    Sonntag, 7. März 2021 18:32
  • Ja hab ich direkt am Exchange ausgeführt. 

    Nach dem Scan habe ich mir das LOG angesehen, was er genau entfernt hat und es handelte sich um folgende Datei: "C:\inetpub\wwwroot\aspnet_client\supp0rt.aspx"

    Sonntag, 7. März 2021 19:18
  • Du solltest das Toll auf allen Systemen im Haus laufen lassen...

    Gruß Norbert

    Montag, 8. März 2021 05:51
    Moderator
  • So ist es.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 8. März 2021 08:04
  • Wir haben leider noch einen Exchange 2010 und das Script hängt an der Stelle mit dem HttpProxy Ordner in den Logs.

    Ist es normal das 2010 den nicht hat?!

    Aspx Files habe ich auch keine findet können in o.g. Pfad.

    Ansonsten meckert das Tool nur AV Archive von Trend Micro an :)

    Montag, 8. März 2021 08:40
  • Yes, hatte ich gemacht, sieht alles gut aus. Danke für die Hilfe
    Montag, 8. März 2021 10:53
  • Hallo, david8921,

    Wenn Dir die Tipps weitergeholfen haben, markiere bitte die entsprechenden Beiträge, die zur Lösung geführt haben, als Antworten. 

    Grüße,

    Mihaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Dienstag, 16. März 2021 14:42
    Moderator
  • Eine Frage zu diesem Safety Scanner: Der nutzt doch die gleiche Engine und das gleiche Pattern wie der Windows Defender auch oder?

    Thx & Bye Tom


    Dienstag, 16. März 2021 15:28
  • Microsofts MSRC-Team stellt Notfall-Tool für Exchange bereit

    die Script wurden verbessert

    https://winfuture.de/news,121765.html

    https://github.com/microsoft/CSS-Exchange/tree/main/Security


    Chris


    • Bearbeitet -- Chris -- Dienstag, 16. März 2021 17:58
    Dienstag, 16. März 2021 17:58