none
Exchange 2013 - Virus Trojan.Mdropper

    Domanda

  • Buongiorno a tutti,

    su un Server Exchange 2013 CU15 Windows 2012 Datacenter, dopo la connessione in Remote Desktop è comparso un messaggio dell' agent Symantec SEP:

    Leggevo da fonti Symantec che tale virus sfrutta vulnerabilità Word ed Excel (che sul Server non sono installati):

    https://www.symantec.com/it/it/security_response/writeup.jsp?docid=2005-031911-0600-99

    Inoltre, sul server non sono presenti le seguenti patch:

    https://technet.microsoft.com/library/security/ms03-050

    Ora, l' agent SEP dice "Quarantine" e non mi sembra normale che sia entrato su un Server Exchange; il mio pc, con lo stesso agent SEP e stesse definizioni è pulito.

    Il Path risulta C:\Windows\Temp\etc...

    Secondo Voi, come è stato possibile infettare il nodo Exchange? Ho controllato anche l' altro nodo (in DAG)  e, per ora, è pulito.

    Posso stare tranquillo?

    Grazie per il supporto.

    mercoledì 9 agosto 2017 11:00

Risposte

Tutte le risposte

  • Ciao, per infettare un server di posta pubblicato non basta che transiti una mail con un virus al suo interno. Se l'hive del virus non viene esposta il contenuto resta silente. Scarterei quindi che il problema sia riconducibile ad una mail presente su quel server che comunque, in ogni caso, non è stata esplosa da lui stesso. La contaminazione quindi può avvenire in altri due modi, tre a dire il vero:

     - bucando l'iis ed il certificato di owa e poi facendo directory traversal sull'iis, ma non è così banale, però in alcuni casi si sfruttano magari account con password blande per poi provare dei privilege escalation sempre previo accesso al sottosistema di iis (complessina come cosa..)

    - il server è andato in internet ed ha navigato e s'è preso qualcosa (banale, ma capita che gli admin navighino dai server in produzione...e poi fanno danno)

    - l'infezione usa un buco di sicurezza del sistema dovuto ad updates mancanti o similari come nel caso del Wannacry

    Ora, non conosco nello specifico il tuo virus, ma la cosa che farei, naturalmente previo backup, è un aggiornamento dei server a livello sistema operativo, scarterei l'ipotesi 1 e 2 e mi tranquillizzerei, poi starei a vedere cosa succede. Sempre che, tutto il discorso non si sgonfi con un falso positivo dell'antivirus (capita).

    ciao.

    A.

    mercoledì 9 agosto 2017 12:08
    Moderatore
  • Ciao Alessandro,

    i due nodi Exchange non hanno accesso ad internet, quindi escludiamo la navigazione e sono due VM Hyper-V, quindi escludiamo anche eventuali supporti USB e/o altro.

    Leggevo in questo thread che la folder c:\windows\temp\xccache è utilizzata da OWA:

    https://social.technet.microsoft.com/Forums/exchange/en-US/0b02c3a2-af30-4ac8-a525-c74fa22ab79b/exchange-2007-webready-owa-issue?forum=exchangesvrclientslegacy

    Da quello che ho capito, se ho letto bene, è una folder utilizzata per la cache dei documenti allegati.

    Quindi, dato che il virus Trojan.MdRopper sfrutta vulnerabilità Word ed Excel, potrebbe anche essere.

    E' un' ipotesi.

    Grazie ancora

    mercoledì 9 agosto 2017 12:53
  • L'unica stranezza però è che anche se c'è la cache il virus viene bloccato di solito quando viene lanciato, a meno che non ci sia una qualche definizione identificativa che lo individua a freddo. Comunque non mi preoccuperei troppo.

    ciao.

    A.

    mercoledì 9 agosto 2017 14:02
    Moderatore
  • Bisogna prestare molta attenzione all'antivirus che si installa su un server Exchange e bisogna configurare le opportune esclusioni, come da documento seguente:

    https://technet.microsoft.com/en-us/library/bb332342(v=exchg.150).aspx

    Se non lo si fa può capitare che l'antivirus rilevi falsi positivi che possono causare la perdita di dati dal punto di vista della mail.

    Roberto


    Roberto Ferazzi
    Microsoft® MVP Office Server & Services (Exchange Server)
    Moderator in the Microsoft TechNet Italy Forums
    My MVP Profile

    MSExchange.Community

    • Contrassegnato come risposta SysAdmin_IT giovedì 10 agosto 2017 07:58
    mercoledì 9 agosto 2017 15:30
    Moderatore
  • Buongiorno Roberto,

    ho anlizzato di nuovo il link da te proposto:

    https://technet.microsoft.com/en-us/library/bb332342(v=exchg.150).aspx#Directory

    Lo avevamo già applicato circa 3 anni fa durante lo startup di Exchange 2013; la policy symantec prevede l' esclusione della scansione di files e foolders presenti nell' articolo.

    Forse, però, avevamo mal interpretato la seguente esclusione:

    The temporary folders that are used to perform conversions:

    • By default, content conversions are performed in the Exchange server’s %TMP% folder

    O meglio, in effetti non abbiamo inserito all' interno della policy Symantec C:\windows\temp (%tmp%, %TEMP%), e questo spiega il virus intercettato.

    Pensi che sia il caso di inserirlo?

    Fammi sapere.

    Grazie e buona giornata

    giovedì 10 agosto 2017 06:39
  • Assolutamente si, per esperienza ti posso dire che la mancata esclusione della TEMP genera problemi e sono quasi certo che questo sia il tuo caso.

    Roberto


    Roberto Ferazzi
    Microsoft® MVP Office Server & Services (Exchange Server)
    Moderator in the Microsoft TechNet Italy Forums
    My MVP Profile

    MSExchange.Community

    • Contrassegnato come risposta SysAdmin_IT giovedì 10 agosto 2017 07:58
    giovedì 10 agosto 2017 07:03
    Moderatore
  • Ok Roberto,

    grazie.

    Secondo te, meglio mettere il path assoluto "C:\windows\temp" oppure "%windir%\temp" oppure "%SystemRoot%\Temp" ?

    Grazie ancora


    giovedì 10 agosto 2017 07:34
  • Io ci metterei "C:\Windows\temp"

    Roberto


    Roberto Ferazzi
    Microsoft® MVP Office Server & Services (Exchange Server)
    Moderator in the Microsoft TechNet Italy Forums
    My MVP Profile

    MSExchange.Community

    • Contrassegnato come risposta SysAdmin_IT giovedì 10 agosto 2017 07:58
    giovedì 10 agosto 2017 07:50
    Moderatore
  • Grazie Roberto,

    buona giornata.

    giovedì 10 agosto 2017 07:59
  • Buongiorno Roberto,

    scusami, la Policy Symantec è stata modificata aggiungendo l' esclusione di c:\windows\temp.

    Mi domando a questo punto se, in effetti il Virus segnalato dall' agent sia presente o meno e come si comporterà per le prossime segnalazioni.

    Grazie e buona giornata

    venerdì 11 agosto 2017 08:50