\nDa ein Exchange Server im Active Directory hohe Rechte besitzt, gibt ein erfolgreicher Angriff auf das E-Mail System dem Angreifer auch die M\u00f6glichkeit das Active Directory anzugreifen und hier Daten abzugreifen, zu ver\u00e4ndern und weitere interne System anzugreifen.
\nExploits f\u00fcr die ProxyLogon-genannte L\u00fccke in Exchange Server kursieren bereits, nun kommt auch noch Ransomware dazu. Erste Nutzer berichten von verschl\u00fcsselten Dateien.<\/em><\/p>\n
Weiterf\u00fchrende Infos finden Sie unter:<\/p>\n
WatchGuard:<\/span><\/b> Microsoft<\/span><\/b>: Microsoft hat mehrere Sicherheitsupdates f\u00fcr Microsoft Exchange Server ver\u00f6ffentlicht. Die Updates schlie\u00dfen Sicherheitsl\u00fccken, die in einigen F\u00e4llen f\u00fcr gezielte Attacken genutzt wurden.<\/p>\n Aktuell betroffen von der Schwachstelle sind die lokalen Exchange Server 2010, 2013, 2016 und 2019<\/b>. Exchange Online ist nicht beeintr\u00e4chtigt. Um das Sicherheitsrisiko zu minimieren, empfehlen wir, unverz\u00fcglich die folgenden drei Schritte durchzuf\u00fchren:<\/p>\n Patches f\u00fcr Exchange-Umgebungen installieren: Suche nach den Indicators of Compromise Indicators of Compromise zeigen positive Ergebnisse? Weitere Ressourcen zu den Microsoft Exchange Sicherheitsupdates finden Sie hier:<\/p>\n Bitte besuchen Sie regelm\u00e4\u00dfig die hier geteilten Links und Quellen, da diese fortlaufend aktualisiert werden.<\/p>\n<\/div><\/div>\n Heise: <\/p>\n BSI: Watchguard hat zum Schutz die Signaturen seines Intrusion Prevention Service (IPS) erg\u00e4nzt und ver\u00f6ffentlicht. Diese finden sie auch im Watchguard Security Portal: hier nach \u201eCVE-2021-26\u201c suchen. Bei gr\u00f6\u00dferen Modellen: min. Version 18.137<\/p>\n Bei kleineren Modellen wie bspw. der T-15: min. Version 4.1132<\/p>\n Erg\u00e4nzung 2021-03-16:<\/strong><\/p>\n Die entsprechenden Signaturen finden Sie im WatchGuard-Security-Portal<\/a>:<\/p>\n <\/p>\n Intrusion Prevention Service<\/strong><\/p>\n Gateway AntiVirus<\/strong><\/p>\n APT Blocker<\/strong><\/p>\n Geolocation<\/strong><\/p>\n Die erste Angriffsstufe f\u00fcr diese Bedrohung erfordert einen Exchange-Server, der dem Internet ausgesetzt ist (wie z.B: ein einfaches Port-Forwarding mit SNAT). Sie k\u00f6nnen diese Stufe des Angriffs entsch\u00e4rfen, indem Sie den Exchange-Server hinter dem Access Portal der Firebox sch\u00fctzen. In diesem Falle l\u00e4uft \u00fcber das Access Portal eine sog. Pre-Authentication, so dass nur Requests mit validen Credentials \u00fcberhaupt bis auf den Exchange durchgereicht werden. Wie das funktioniert erkl\u00e4ren wir in diesem >> HOW-TO-Blogartikel<\/a>.<\/p>\n Zus\u00e4tzlich hat dies den Vorteil, dass die Authentifizierung gegen die E-Mail-Domain durchgef\u00fchrt wird und der Exchange nur noch \u00fcber https:\/\/<domain-name>\/ erreichbar ist, aber nicht mehr unter https:\/\/<ip>; d.h. ein reiner Scan auf einen IP-Range und dort auf der IP zuf\u00e4llig laufender OWA-Instanzen greift von vornherein ins Leere.<\/p>\n Mit Hilfe von Reverse-Proxy-Aktionen in der Access Portal Konfiguration k\u00f6nnen Remote-Benutzer ohne VPN-Client eine sichere Verbindung zu internen Webanwendungen und Microsoft Exchange Diensten herstellen.<\/p>\n Durch die Anmeldung mit einem zus\u00e4tzlichen Authentifikations-Faktor k\u00f6nnen Sie Web-Anmeldungen zus\u00e4tzlich absichern.<\/p>\n Wenn der Benutzer versucht, sich bei einer Anwendung anzumelden, die eine Authentifizierung erfordert, erscheint die AuthPoint-Authentifizierungsseite. Um sich anzumelden, gibt der Benutzer sein AuthPoint-Passwort ein (falls erforderlich) und w\u00e4hlt eine Authentifizierungsmethode. Bespw. ein OneTime-Password oder eine Push-Benachrichtigung auf das mobile Ger\u00e4t des Benutzers. Falls die bisher genannten Ma\u00dfnahmen (mangels Konfiguration, Zeitversatz,…) den Zugriff auf den Exchange nicht verhindern konnten, greift Adaptive Defense 360 (auf dem Exchange-Server) als “Last Line Of Defense”. <\/p>\n Stand des Artikels:<\/p>\n Unternehmen stellen h\u00e4ufig Exchange Dienste wie ActiveSync (Abruf der Mails per Mail-App auf dem Handy), OWA (Outlook Web Access – Zugriff auf Outlook \u00fcber eine Webschnittstelle) und damit meist auch unwissentlich ECP (Exchange Admin-Konsole) f\u00fcr den Zugriff aus dem Internet f\u00fcr Ihre Mitarbeiter zur Verf\u00fcgung. Diese Dienste werden aktuell missbraucht. Der Zugriff geschieht dabei von extern \u00fcber das Internet-Protokoll https auf Port 443. Dieser Artikel … Weiterlesen Exchange Server Hafnium Exploit<\/span>
\n>> Exchange Server Vulnerabilities Actively Exploited in the Wild<\/a>
\n>> HAFNIUM Exchange Server Exploit Protection Measures<\/a><\/p>\n
\n<\/span>>> Hafnium: Microsoft Exchange-Sicherheitsupdate zum Schutz vor neuen nationalstaatlichen Attacken verf\u00fcgbar<\/a>
\n
\nUm die Schwachstellen zu beheben, sollten Sie auf die neuesten Exchange Cumulative Updates wechseln und dann die entsprechenden Sicherheitsupdates auf jedem Exchange Server installieren. Sie k\u00f6nnen das Skript \u201eExchange Server Health Checker\u201c nutzen, das Sie von GitHub<\/a> herunterladen k\u00f6nnen (verwenden Sie bitte die neueste Version). Sobald Sie dieses Skript ausf\u00fchren, k\u00f6nnen Sie feststellen, ob Sie mit den Updates f\u00fcr Ihren lokalen Exchange Server im Verzug sind (beachten Sie, dass das Skript Exchange Server 2010 nicht unterst\u00fctzt).<\/p>\n
\nIn diesem Artikel<\/a> hat Microsoft Informationen zusammengefasst, die SOCs und Security Verantwortlichen dabei helfen sollen, proaktiv nach verd\u00e4chtigen Aktivit\u00e4ten in ihrer Umgebung zu suchen. Dort finden Sie auch die Indicators of Compromise (IOCs), Erkennungsrichtlinien und erweiterte Suchanfragen, mit denen Sie diese Aktivit\u00e4t mithilfe von Exchange-Serverprotokollen, Azure Sentinel, Microsoft Defender f\u00fcr Endpoint und Microsoft 365 Defender untersuchen k\u00f6nnen. Bitte f\u00fchren Sie alle dort genannten Schritte aus. Weitere Informationen und Handlungsempfehlungen sind im Artikel verlinkt.<\/p>\n
\nWenn der Scan der Exchange-Protokolldateien f\u00fcr Kompromissindikatoren (Indicators of Compromise) positive Ergebnisse zeigt, k\u00f6nnen Sie sich gerne an uns wenden.<\/p>\n\n
\n
\n<\/span><\/b>>> Exchange Server: Angreifer nutzen Schwachstellen f\u00fcr Ransomware “DearCry”<\/a>
\n>> Neues Tool von Microsoft: Exchange-Server mit wenigen Klicks absichern<\/a><\/p>\n
\n<\/b>Das BSI empfiehlt, die Analyse- und Reparaturprogramme und Sicherheitsupdates, die auch von Microsoft inzwischen angeboten werden, sofort zu installieren
\n>> Detektion und Reaktion<\/a><\/p>\nWie kann ich mich Sch\u00fctzen? <\/b><\/h4>\n
<\/h5>\n
I<\/b>ntrusion Prevention Service<\/b><\/h5>\n
\nDie Signaturen Ihrer WG Firewall sollten mindestens die unten dargestellten Versionenst\u00e4nde aufweisen. Diese Finden Sie im Firebox System Manager unter Subscription Services:<\/p>\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/03\/hafnium-exploit1.jpg\")
<\/p>\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/03\/hafnium-exploit2.jpg\")
<\/p>\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/03\/2021-03-16_13h08_38-1024x496.png\")
<\/p>\n1. Folgende Watchguard Sicherheits-Dienste f\u00fcr eingehende Exchange Policies aktivieren<\/h5>\n
\n
\nVoraussetzung ist eine aktivierte HTTPS-Deep-Inspection<\/strong> auf einer HTTPS-Proxy-Action, da das Angriffspattern nat\u00fcrlich nur dann erkannt wird, wenn die Firewall den verschl\u00fcsselten HTTPS-Stream aufbrechen kann.<\/li>\n<\/ul>\n\n
\nVoraussetzung ist ein HTTP-Proxy mit aktiviertem Gateway-Antivirus und f\u00fcr HTTPS ebenfalls eine aktivierte HTTPS-Deep-Inspection<\/strong> auf der ausgehenden HTTPS-Proxy-Action, mit der der Zugriff vom Exchange-Server ins Internet geregelt ist.
\nIn diesem Fall w\u00fcrde der Download der WebShells von HTTPS-Servern gepr\u00fcft, erkannt und unterbunden werden.<\/li>\n<\/ul>\n\n
\nAuch hier wird ausgehend eine entsprechende Proxy-Action f\u00fcr HTTP und HTTPS mit Deep Inspection ben\u00f6tigt.
\n<\/strong>Der APT-Blocker im TDR-Host-Sensor kann hier ebenfalls hilfreich sein.<\/li>\n<\/ul>\n\n
\nDies ist nat\u00fcrlich kein 100%iger Schutz, aber wenn der Gro\u00dfteil aller IPs im Internet bereits beim Zugriff auf den OWA\/Exchange geblockt werden, k\u00f6nnen diese auch keinen Angriff ausf\u00fchren. Nat\u00fcrlich w\u00e4ren die Server weiterhin von System in den erlaubten L\u00e4ndern\/Regionen aus angreifbar.<\/li>\n<\/ul>\n2. Access Portal in Verbindung mit Microsoft Exchange (Pre-Authentication):<\/h5>\n
![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/03\/hafnium-exploit3.jpg\")
<\/p>\n\n
3. AuthPoint<\/h5>\n
![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/03\/hafnium-exploit4.jpg\")
<\/p>\n
\nIn unserem Infoportal finden Sie weitere Informationen zum Thema >> AuthPoint<\/a>.<\/p>\n4. Panda Adaptive Defense 360<\/h5>\n
\nKonnte der Zugriff auf den Mailserver nicht unterbunden werden, wird dennoch die Ausf\u00fchrung weiterer schadhafter Aktionen auf dem Server verhindert. Voraussetzung ist hier der Lock Modus.<\/strong>
\nJegliche Post-Exploit-Aktionen werden im Lock-Modus durch das Zero-Trust verfahren pr\u00e4ventiv unterbunden. Der Schadcode wurde damit auf dem Exchange-Server nicht ausgef\u00fchrt!
\nEbenso bietet Panda AD360 Erkennung f\u00fcr die PowerShell-Payloads und viele der an diesem Angriff beteiligten Webshells.
\nIn unserem Infoportal finden Sie weitere Informationen zum Thema >> Panda Endpoint Security<\/a>.<\/p>\n\n