Wie grundsätzlich verfahren mit Exchange Zero-Day-Exploit?

Moin,

Ich stehe schon seit Jahrzehnten lauf dem Standpunkt, daß ein Windows-Server, insbesondere ein Exchange keine direkte Verbindung ins Internet haben darf.

Der Zugriff ins "Internet" Netz darf also imho nur über VPN erfolgen, vor allem wenn man mitbekommt, was gerade passiert ist.


lks

Hallo Kollegen,

ich drücke allen Admins hier die Daumen, dass Sie "heil" und mit möglichst wenig Aufwand aus der Sache herauskommen, was für eine fürchterliche Sache!

Meinen 2016er on premise mit CU18 habe ich direkt am Freitag gepatcht und das ganze Wochenende über beobachtet und ausgewertet, was so passiert. Für mein Dafürhalten sind wir nicht betroffen, es konnte keine Einzige der bis jetzt beobachteten Angriffsspuren gefunden werden. Ein ungutes Gefühl bleibt aber trotzdem, denn die Ausführungen von StefanKittel sind vom Grundgedanken her schon richtig.


Was mir bis jetzt aus den ganzen Artikeln und Blogs noch nicht ganz klar geworden ist: Lässt sich der aktuelle Exploit nur ausnutzen wenn /OWA im Netz hängt? Bei mir hängen /ecp und /owa hinter einem Reverse Proxy der eine 2-FA fordert. Active Sync, /ews und /mapi sind allerdings direkt erreichbar.

Viele Grüße,

A&O


- edit -

versehentlichen Fullquote gelöscht

Moin,

von welchem Tool sprichst du?

Gruß

Auf was bzw. wen bezieht sich deine Frage?

Auf Stefans Aussage im Ausgangspost.

Moin Stefan,
die Firewall ist erst einmal sekundär. Ich gehe davon aus, dass in 95% der Fälle die Ports via DNAT/Port-Forwarting auf den Revese Proxy weitergeleitet werden. Ich pflegen z.B. eine Rule, in der IP-Adresse stehen, von dene wir auf keinen Fall eine Verbindung annehmen möchten.

Der Reverse Proxy taugt mehr oder weniger. Das hängt davon ab, ob dieser die Verbindungen 1:1 weiterleitet oder auch aktiv eingreift. Damit meine ich z.B. die Authentifitzierung übernimmt oder/und nur Zugriff auf bestimmte Pfade/Verzeichnisse erlaubt. Schau dir mal die Anleitungen im Internet dazu an, dann kannst du dir es aus rechnen. Eine Web Application Firewall ist oberfläch gesehen, erstmal nichts anderes. Allerdings mit einer regelmäßigen Aktualisierung des Regelwerks durch den Hersteller und/oder Kunde, ist der Mehrwehr auf jeden Fall vorhanden.

Natülich hängt es ein stückweit auch davon ab, welche Services im Internet erreichbar/verföffentlich werden. Nach wie vor können nicht alle (zB. OAB) mit einem vorgelagerten Authentifizierung umgehen. Soweit ich weiß trifft das bei Active-Sync ebenfalls auf die meisten Lösungen (Squid, Nginx zu. Da sieht es beim Einsatz von anderen Produkten (z.B. von Microsoft) schon anders aus.

Daraus resultiert eine gewisse Komplextität und Wissensaufbau. Was vermutlich in vielen Fällen nicht möglich ist oder große Herausforderungen für IT und Unternehmen bedeutet. Daher wie so oft: It' depends.

GEO IP halte ich nicht mehr für zeitgemäß. Je nach Datenbank gibt es hier große Abweichungen. Darauf verlassen würde ich mich nicht.

Wie hilft das Tool gegen die aktuelle Situation?

Ich persönlich gehe davon aus, dass es zukünftig ohne Vorauthentifizierung und 2FA nicht mehr gehen wird - VPN mal außen vor. Gerade auf Hinblick der kleinen und mittelständigen Unternehmen. Die sich RP, WAF, Alwayss Vpn On nicht leisten können. Ich denke die Azure Cloud wird hier zeitnah massiv Zuwachs erhalten. Weil dort die Anforderungen günstig eingekauft werden können.


Gruß,
Dani

Die Paranoide Antwort ist:
Exchange und das damit verbundene AD verbrennen und komplett neu aufsetzen

Die vermutlich realistischere Antwort:
Den Exchnange Monitoren bis nicht mehr geht, jegliche IOCs aus diesem Hack ständig prüfen, schauen ob neue bekannt werden etc.
Auch alle möglichen Gruppen/Rechte monitoren bis es nicht mehr geht, hol dir am besten ein Backup von ~ Denzember 2020 und vergleich die Gruppen/Rollen mit jetzt (ja, vermutlich pain in ther ass weil in der zwischenzeit sehr viele änderungen gab)
Ich würde z.B. Bloodhound mal laufen lassen und schauen ob die Ergebnisse von Dez2020 arg anders zu jetzt aussehen.
Schlussendlich kannst du nur eins machen wenn ein geheimdienst APT bei dir ist: Loggen + Monitoren, denn die Jungs sind scheu und schwer zu finden.

Dann noch hier alles genannte abarbeiten: "Improving defenses against Exchange server compromise"
https://www.microsoft.com/security/blog/2020/06/24/defending-exchange-se ...
(wobei es auch nicht viel neues ist)

Frage dazu in die Runde: Hat jemand eine Brauchbare Anleitung wie man ein Exchange "wenigerpriviligiert", also als einen Tier > 0 Server betreiben kann?

Moin @NetzwerkDude
Mit einer Anleitung kann ich nicht dienen. Aber es gibt dazu Webmiare, z.B. hier.

Aus meiner Sicht gibt es dazu nur zwei Möglichkeiten:

• Implementierung des Split Permissions Model
• Anpassung der NTFS-Berechtigungen für die administrative Gruppen (z.B. Enterprise, Organisation, Domänen-Admins, etc...).

Gruß,
Dani

Moin

naja... Jeder nicht gepatchte...

So sieht das wohl aus...

das ist wohl die logische Konsequenz, wenn man angegriffen wurde.

Und für die, die es noch nicht geprüft haben:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exc ...

Wir haben es fast geschafft, bei allen Kunden das Update rechtzeitig einzuspielen, Bei einem Kunden haben waren wir aber auch zu langsam. Haben den dann aus dem Backup wiederhergestellt. Die Informationslage ist ja insgesamt noch recht dünn und so richtig weiß niemand, was dann auf dem Server ggf. passiert ist.

Meine persönliche Theorie ist, dass man pauschal erst einmal Server wahllos angegriffen hat, dann eine erste Analyse gelaufen ist, ob es sich lohnt, da weitere Schritte zu unternehmen. Bei dem Kunden konnten wir jedenfalls außer den entsprechende Einträgen in den Logs und einer Datei mit Konfigurationsdaten nichts finden, was auf einen Datenabfluss hätte schließen lassen.

Gruß

Ich habe am WE Zahlen gesehen, nach denen > 40% aller Server atakiert wurden. Wie der Stand heute ist = ?

Das ist nicht "jeder" - aber es sind verdammt viele...

Und wenn Du auf deinem Server den Angriff hast diagnostizieren können, dann bleibt doch eigentlich keine andere Wahl, als das Blech aus dem Backup zu holen!? Willst Du die nächste Jahre einen Server betreiben, der vielleicht noch irgendwas in sich trägt???

Moin,
das ist relativ, oder? Die Frage ist immer welche absolute Zahl verbirgt sich als Gesamtanzahl. Microsoft ist aus meiner Sicht einer der wenigen Quellen die eine ungefähre Anzahl von Installation nennen könnte. Dann gibt's mal eine theoretische Hausnummer.


Gruß,
Dani

Hallo,

Nutzer akzeptieren VPN schon, wenn es technisch verträglich gemacht wird, und das Prinzip dahinter in der Unternehmenskultur verankert wird. Das hat man nicht immer in der Hand. Ich habe auch ein öffentliches OWA in meinem Verantwortungsbereich und betrachte das nicht als persönliche Schande.

Hat auch nichts mit Windows zu tun. Wer seine Nextcloud oder eine Linux-basierte Webmail/Groupware ins Netz stellt, hat genau die gleichen Probleme. Vielleicht noch mehr, gemessen an den Gelegenheiten, etwas falsch zu machen.

Was grundsätzlich hilft: Angriffsfläche mit allen vertretbaren Maßnahmen zu minimieren, d.h. bis zur "Schmerzgrenze".

Ich glaube, dass das Wort Angriffsfläche aber für manche Kollegen in der IT-Sicherheit bzw. dem Sicherheitsmanagement gar nicht existiert, weil sie keinen Bezug zur praktischen Durchführung von Angriffen haben. Es gibt stattdessen zwei schematische Auffassungen von IT-Sicherheitsarbeit, die beide nicht viel nutzen:

1) Die SOC-Betriebsblindheit, es gerade für die edelste und dringlichste Aufgabe der IT-Security zu halten, 24/7 der jeweils neuesten Schwachstelle hinterher zu jagen und 260 Newsletter und Threat-Intel-Feeds abonniert zu haben, um irgendwie schneller als alle anderen und doch nicht dabei zu sein, wenn die Zahl der bekannten Ausnutzungen schon fünfstellig ist.

2) Der Glaube an die Pentest-Offenbarung, nach dem Motto: Eine Lösung mag die Angriffsfläche eines Scheunentors haben, aber ich halte sie für sicher, solange mir keiner das Gegenteil beweist. Ich will jemanden aber auch allenfalls gelegentlich und mäßig für den diesbezüglichen Versuch entlohnen.
Die Rechnung geht wirtschaftlich nicht auf, da das Potenzial der Gesamtheit aller möglichen Angreifer nicht individuell simulierbar ist. Ein guter Pentest führt deshalb in der Regel auch zu einzelnen informationellen oder gering gewichteten Findings, zur Beachtung ohne den Nachweis einer Ausnutzbarkeit.
Wer auf die Demonstration einer ausnutzbaren Schwachstelle wartet, anstatt die technischen Grundlagen und den Komplexitätsgrad einer Lösung zu analysieren, um sich zu fragen, ob es das Risiko wert ist, ist natürlich immer zu spät.

Grüße
Richard