17
HAFNIUM Teil 2
Moin,
heute Morgen hat ein Kunde von mir folgende Mail erhalten.
Das Problem ist, dass der Server (Exchange 2016, Version 15.1 Build 2176.2) voll gepatched ist. Sowohl CU als auch Windows Updates.
Ich habe Windows Updates eben laufen gelassen und er hat 2 Defender Updates und ein CPU Microcode Update installiert (KB2267602, KB890830 und KB4589210). Nichts mit Exchange.
Auch wurden bisher mit den Skripten keine Zugriff gefunden.
Ich habe den Server erst einmal abgeschaltet.
Diese Dateien wurde, nachweislich aufgrund der Datensicherung, erst am 16.03.21 um 00:20 erstellt.
Mit dem Script detect_webshells.ps1 habe ich diese Datei identifiziert.
C:\Program Files\Microsoft\Exchange Server\V15\Frontend\HttpProxy\owa\auth\dd158db173bf4c5dac2e5f5b8a4cb906.aspx
Ein Scan von ESET hat nichts gefunden.
Ein Scan mit dem Defender hat dies gefunden und gelöscht.
file:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\owa\8e05b027\e164d61b\App_Web_ejmv5hji.dll
Frage1
Kann man C:\Program Files\Microsoft\Exchange Server\V15\Frontend eigentlich Read-Only machen?
Frage2
Kann man C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ einfach löschen? Ist ja temporär.
Viele Grüße
Stefan
heute Morgen hat ein Kunde von mir folgende Mail erhalten.
Von: EXCHANGE-EXPLOIT@firma.de
Datum: 16. März 2021 um 00:20:44 MEZ
An: name1 <name1@firma.de>, name2 <name2@firma.de>, name3 <name3@firma.de>, name3 <name3@firma.de>, name4 <name4@firma.de>, name5 <name5@firma.de>, name6 <name6@firma.de>
Betreff: UPDATE YOUR EXCHANGE SERVER NOW
Your email server is outdated and vulnerable to the recent Exchange exploit, see the following link for more details:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
This message was sent from your internal network as proof of successful exploitation.
Update ASAP to avoid data exposure/loss.
Regards,
a friendly scriptDas Problem ist, dass der Server (Exchange 2016, Version 15.1 Build 2176.2) voll gepatched ist. Sowohl CU als auch Windows Updates.
Ich habe Windows Updates eben laufen gelassen und er hat 2 Defender Updates und ein CPU Microcode Update installiert (KB2267602, KB890830 und KB4589210). Nichts mit Exchange.
Auch wurden bisher mit den Skripten keine Zugriff gefunden.
Ich habe den Server erst einmal abgeschaltet.
Diese Dateien wurde, nachweislich aufgrund der Datensicherung, erst am 16.03.21 um 00:20 erstellt.
Mit dem Script detect_webshells.ps1 habe ich diese Datei identifiziert.
C:\Program Files\Microsoft\Exchange Server\V15\Frontend\HttpProxy\owa\auth\dd158db173bf4c5dac2e5f5b8a4cb906.aspx
Ein Scan von ESET hat nichts gefunden.
Ein Scan mit dem Defender hat dies gefunden und gelöscht.
file:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\owa\8e05b027\e164d61b\App_Web_ejmv5hji.dll
Frage1
Kann man C:\Program Files\Microsoft\Exchange Server\V15\Frontend eigentlich Read-Only machen?
Frage2
Kann man C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ einfach löschen? Ist ja temporär.
Viele Grüße
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 663240
Url: https://administrator.de/contentid/663240
Printed on: April 26, 2024 at 13:04 o'clock
17 Comments
Latest comment
Hallo,
schon mal den kpl. Header geprüft ob das wirklich von intern kommt.
Nicht das es eine Spammail vom Typ hey du schaust Pornos ist.
schon mal den kpl. Header geprüft ob das wirklich von intern kommt.
Nicht das es eine Spammail vom Typ hey du schaust Pornos ist.
Ist es nun so, dass ein guter Hacker dich darauf aufmerksam gemacht hat? 
Zitat von @wiesi200:
schon mal den kpl. Header geprüft ob das wirklich von intern kommt.
Nicht das es eine Spammail vom Typ hey du schaust Pornos ist.
schon mal den kpl. Header geprüft ob das wirklich von intern kommt.
Nicht das es eine Spammail vom Typ hey du schaust Pornos ist.
Leider ja,
Es war ja auch ein Webshell auf dem Server.
Das lässt mich nur 2 Schlüsse zu:
A) Der Server wurde vor dem Update infiziert und zwar in einer Weise dass weder das Skript noch die Überprüfung der Protokolle dies angezeigt hatten
B) Der Server wurde von einer neuen Version infiziert nachdem der Server gepachted wurde.
Beides macht mir Angst.
Aktuell prüfe ich den Server ob ich noch etwas finden kann.
Das aber nur um herauszufinden wie die reinkamen.
Den Server werde ich wiederherstellen aus einer Datensicherung.
Received: from ServerExch.ad.firma.de ([LAN IP EXCHANGE]) by
ServerExch.ad.firma.de ([LAN IP EXCHANGE]) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id
15.1.2176.2 via Mailbox Transport; Tue, 16 Mar 2021 00:20:44 +0100
Received: from ServerExch.ad.firma.de ([LAN IP EXCHANGE]) by
ServerExch.ad.firma.de ([LAN IP EXCHANGE]) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id
15.1.2176.2; Tue, 16 Mar 2021 00:20:44 +0100
Received: from ServerExch (127.0.0.1) by
ServerExch.ad.firma.de (127.0.0.1) with Microsoft SMTP Server
id 15.1.2176.2 via Frontend Transport; Tue, 16 Mar 2021 00:20:44 +0100
MIME-Version: 1.0
From: <EXCHANGE-EXPLOIT@firma.de>
To: <name1@firma.de>,
<name2@firma.de>, <name3@firma.de>,
Date: Tue, 16 Mar 2021 00:20:44 +0100
Subject: UPDATE YOUR EXCHANGE SERVER NOW
Content-Type: text/plain; charset="us-ascii"
Content-Transfer-Encoding: quoted-printable
Message-ID: <0bcdd8b8-8d96-4029-8e75-dd95b8b20975@ServerExch.ad.firma.de>
Return-Path: EXCHANGE-EXPLOIT@firma.de
X-MS-Exchange-Organization-Network-Message-Id: f3a12923-0fdb-4e82-3e46-08d8e808f52b
X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0
X-MS-Exchange-Organization-AuthSource: ServerExch.ad.firma.de
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Transport-EndToEndLatency: 00:00:00.2180597
X-MS-Exchange-Processed-By-BccFoldering: 15.01.2176.002
Ich hätte es heute morgen im Büro eh gesehen weil ich mit einem RMM stündlich dieses Skript laufen lasse.
Aber ja, es "scheint" ein netter Hacker zu sein. Aber wer weiß...
Aber ja, es "scheint" ein netter Hacker zu sein. Aber wer weiß...
Hi,
kannst du mal bei Shodan , deine externe IP abfragen ?
https://www.shodan.io
Mit freundlichen Grüßen
kannst du mal bei Shodan , deine externe IP abfragen ?
https://www.shodan.io
Mit freundlichen Grüßen
Moin,
ist nicht unüblich, wenn die Webshells schon vor der Updateinstallation eingespielt wurden, wurschteln die auch danach fröhlich vor sich her, dagegen helfen die Updates nicht, das habe ich jetzt schon bei drei Servern gesehen.
Die Webshells wurden lt. 26855er-Skript und -Report jeweils am 03.03.2021 installiert und erst danach kamen die MS-Updates. Die Server kann man komplett in die Tonne treten.
Mach den Exchange platt, installier ihn neu und häng die alte DB wieder ein, anders kommst du aus der Nummer nicht mehr raus.
VG
ist nicht unüblich, wenn die Webshells schon vor der Updateinstallation eingespielt wurden, wurschteln die auch danach fröhlich vor sich her, dagegen helfen die Updates nicht, das habe ich jetzt schon bei drei Servern gesehen.
Die Webshells wurden lt. 26855er-Skript und -Report jeweils am 03.03.2021 installiert und erst danach kamen die MS-Updates. Die Server kann man komplett in die Tonne treten.
Mach den Exchange platt, installier ihn neu und häng die alte DB wieder ein, anders kommst du aus der Nummer nicht mehr raus.
VG
Zitat von @chgorges:
Moin,
ist nicht unüblich, wenn die Webshells schon vor der Updateinstallation eingespielt wurden, wurschteln die auch danach fröhlich vor sich her, dagegen helfen die Updates nicht.
Moin,
ist nicht unüblich, wenn die Webshells schon vor der Updateinstallation eingespielt wurden, wurschteln die auch danach fröhlich vor sich her, dagegen helfen die Updates nicht.
Deswegen schreibe ich das hier ja.
Dies bedeutet aber, dass jeder der das Update erst, wie ich, am 04.03. installiert hat kompromitiert sein könnte oder ist.
Auch wenn alle Prüfungen vorab nichts gefunden haben.
Oder es bedeutet, dass die Updates nicht helfen.
Beides ist nicht gut.
Stefan
Doch, aber nicht rückwirkend. Wenn man schon befallen war, dann kann man patchen wie man will.
Oder die Hacker sind mutiert und der Impfstoff muss gepatcht werden *duckundwech*
1
Moin,
Zudem überprüfe DNS, AD, usw. Wenn dir da auch nur eine Kleinigkeit verdächtig vor kommt, schieß die Systeme ebenfalls in die Vergangenheit. Mittlerweile hatten die ja genug Zeit sich da durchzuwurmen.
Es war ja auch ein Webshell auf dem Server.
Dann ist eh alles zu spät ... Du weißt nicht wo sich das alles eingenistet hat.- neue Mails vom alten Exchange manuell sichern
- Ports dichtmachen
- Recovery vom 01.03. oder 02.03. wiederherstellen
- nach Webshells suchen / Logs durchsuchen
- Nach Viren scannen
- CU installieren
- Patch installieren
- Mails in die Postfächer manuell zurückführen
- Ports wieder öffnen und vorher überlegen ob die wirklich notwendig sind
... installier ihn neu und häng die alte DB wieder ein
Ich würde nicht die DB vom kompromittierten Server wieder einklinken. Da könnte sich ebenso gut etwas eingenistet haben. Wenn man sich schon die Aufwand macht, dann aber auch komplett um wirklich sicher zu gehen.Zudem überprüfe DNS, AD, usw. Wenn dir da auch nur eine Kleinigkeit verdächtig vor kommt, schieß die Systeme ebenfalls in die Vergangenheit. Mittlerweile hatten die ja genug Zeit sich da durchzuwurmen.
Moin,
ich weiß schon was ich tun muss.
Es ging mir hier um den Hinweis, dass selbst wenn man das Update ganz schnell eingespielt hat, der Virenscan negativ ist, die Skripte von MS nichts anzeigen, man trotzdem neue Freunde haben kann.
Stefan
ich weiß schon was ich tun muss.
Es ging mir hier um den Hinweis, dass selbst wenn man das Update ganz schnell eingespielt hat, der Virenscan negativ ist, die Skripte von MS nichts anzeigen, man trotzdem neue Freunde haben kann.
Stefan
Hi Stefan!
Hast du denn vor dem Incident wirklich alles geprüft ob schon jemand auf dem System war bevor du den Patch eingespielt hast?
Das geht aus deinen Posts nicht eindeutig hervor...
Was prüfst du täglich? Und mit was?
Wenn du vorher alles mit den gleichen Tools geprüft hast, und jetzt trotzdem den Vorfall hast wäre das in der Tat beängstigend.
Wenn du jetzt im Nachgang erst prüfst - hast halt einen Fehler gemacht...
Gruß
Luigi
Hast du denn vor dem Incident wirklich alles geprüft ob schon jemand auf dem System war bevor du den Patch eingespielt hast?
Das geht aus deinen Posts nicht eindeutig hervor...
Was prüfst du täglich? Und mit was?
Wenn du vorher alles mit den gleichen Tools geprüft hast, und jetzt trotzdem den Vorfall hast wäre das in der Tat beängstigend.
Wenn du jetzt im Nachgang erst prüfst - hast halt einen Fehler gemacht...
Gruß
Luigi
Die Meldung zu den aktuellen Patches hast du heute gelesen?
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march ...
Zudem gab es heute noch mal etwas hinsichtlich der Sicherheitslücken und deren Diagnose:
https://github.com/microsoft/CSS-Exchange/tree/main/Security
https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange- ...
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march ...
Zudem gab es heute noch mal etwas hinsichtlich der Sicherheitslücken und deren Diagnose:
https://github.com/microsoft/CSS-Exchange/tree/main/Security
https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange- ...
Danke,
gibt es inzwischen eine Webseite wo man eine URL reinschreiben kann und die prüfen auf Verwundbarkeit?
Shodan kann dies, aber auch mit einem Bezahlaccount aktualisiert er den Scan nicht (einer ist 7 Tage alt) und der Support antwortet (nach 24 Stunden) nicht.
Stefan
gibt es inzwischen eine Webseite wo man eine URL reinschreiben kann und die prüfen auf Verwundbarkeit?
Shodan kann dies, aber auch mit einem Bezahlaccount aktualisiert er den Scan nicht (einer ist 7 Tage alt) und der Support antwortet (nach 24 Stunden) nicht.
Stefan
Ja sag mal... selbst im letzten Post ist ein Download-Link zur Verwendung mit dem nmap Scanner genannt...
Hallo,
Ich habe den Server aus einer Datensicherung im Februar wiederhergestellt.
Dann CU20 installiert und alles was Windows Updates angeboten hatte.
nmap sagt alles ok.
EOMT.ps1 sagt dies hier.
Und jetzt kommen wir zum eigentlichen Problem vermutlich.
Nach der Ausführung starte ich den Server neu und lasse das EOMT erneut laufen.
Ich bekomme die gleiche Anzeige.
Ja, Powershell als Administrator.
Ich habe das nun 4x gemacht (inklusive Neustart) und er ist immer noch nicht glücklich. Und ich auch nicht.
Ich begebe mich mal auf die Suche.
Stefan
Update
MS bietet ja nur Updates für 2016 bis CU19 an.
https://support.microsoft.com/en-us/topic/description-of-the-security-up ...
Da in CU20 dies Update bereits enthalten ist.
- Backup vom 15.02.21 eingespielt.
- Exchange 2016 CU20
- WU alles installiert
- nmap meldet kein Problem
- detect_webshell-skript.ps1 meldet keine Infektion
- EOMT.ps1 meldet dass der Server verletzbar ist
Kann Jemand bestätigen, ob EOMT.ps1 für Exchange 2016 CU20 falsch anzeigt?
Stefan
Ich habe den Server aus einer Datensicherung im Februar wiederhergestellt.
Dann CU20 installiert und alles was Windows Updates angeboten hatte.
Version 15.1 (Build 2242.4) nmap sagt alles ok.
EOMT.ps1 sagt dies hier.
AUSFÜHRLICH: Starting EOMT.ps1 on SERVEREXCH
AUSFÜHRLICH: EOMT precheck complete on SERVEREXCH
AUSFÜHRLICH: SERVEREXCH is vulnerable: applying mitigation
AUSFÜHRLICH: Starting mitigation process on SERVEREXCH
AUSFÜHRLICH: IIS URL Rewrite Module is already installed on SERVEREXCH
AUSFÜHRLICH: Applying URL Rewrite configuration to SERVEREXCH :: Default Web Site
AUSFÜHRLICH: Mitigation complete on SERVEREXCH :: Default Web Site
AUSFÜHRLICH: Starting MSERTProcess on SERVEREXCH
AUSFÜHRLICH: MSERT download complete on SERVEREXCH
AUSFÜHRLICH: Quick scan will take several minutes to complete, please wait..
AUSFÜHRLICH: Running Microsoft Safety Scanner - Mode: Quick Scan on SERVEREXCH
Microsoft Safety Scanner is complete on SERVEREXCH No known threats detected.
AUSFÜHRLICH: Microsoft Safety Scanner is complete on SERVEREXCH No known threats detected.
AUSFÜHRLICH: EOMT.ps1 complete on SERVEREXCH, please review EOMT logs at
C:\Users\ADMINI~1.PRA\AppData\Local\Temp\msert\EOMT.log and the summary file at C:\EOMTSummary.txtUnd jetzt kommen wir zum eigentlichen Problem vermutlich.
Nach der Ausführung starte ich den Server neu und lasse das EOMT erneut laufen.
Ich bekomme die gleiche Anzeige.
Ja, Powershell als Administrator.
Ich habe das nun 4x gemacht (inklusive Neustart) und er ist immer noch nicht glücklich. Und ich auch nicht.
Ich begebe mich mal auf die Suche.
Stefan
Update
MS bietet ja nur Updates für 2016 bis CU19 an.
https://support.microsoft.com/en-us/topic/description-of-the-security-up ...
Da in CU20 dies Update bereits enthalten ist.
- Backup vom 15.02.21 eingespielt.
- Exchange 2016 CU20
- WU alles installiert
- nmap meldet kein Problem
- detect_webshell-skript.ps1 meldet keine Infektion
- EOMT.ps1 meldet dass der Server verletzbar ist
Kann Jemand bestätigen, ob EOMT.ps1 für Exchange 2016 CU20 falsch anzeigt?
Stefan
Moin,
ich führe das hier fort um es übersichtlicher zu gestalten.
Schlägt EOMT.ps1 fehl mit Exchange 2016 CU20?
Stefan
ich führe das hier fort um es übersichtlicher zu gestalten.
Schlägt EOMT.ps1 fehl mit Exchange 2016 CU20?
Stefan
Hallo,
der andere Thread ist abgeschlossen.
Weitere Personen haben berichtet, dass EOMT mit Exchange 2016 CU20 eine falsche Warnung ausgeben.
der andere Thread ist abgeschlossen.
Weitere Personen haben berichtet, dass EOMT mit Exchange 2016 CU20 eine falsche Warnung ausgeben.