Exchange Server 2016 Sicherheitslücke

Exchange Server 2016 Sicherheitslücke (39 Beiträge, 808 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Hallo,

ich habe bei meinem MX-Server alle Pachtes nach dem Bekanntwerden eingespielt. Sicherheitshalber habe ich auch dich Test-ProxyLogon.ps1 ausgeführt und habe folgende Meldung bekommen:

[CVE-2021-26855] Suspicious activity found in Http Proxy log!

Die Einträge waren alle noch vor dem Patchen.

ich habe drei unterschiedliche Virenscanner laufen lassen, alle haben nichts gefunden. MS-Saftey hat auch nichts gefunden.

C:\inetpub\wwwroot\aspnet_client\ sind keine Dateien abgelegt.

Was kann/muss ich noch tun?

Vielen DAnk

Admin Log durchschauen ob jemand etwas verändert hat.

Alles wipen, gepatcht neu installieren, Daten (und nur die) restoren. Alles andere ist ein Spiel mit dem Feuer. Fuer eine Larifari-Installation vielleicht argumentierbar/OK, aber fuer alles andere imho mindestens fahrlaessig (IANAL).

--

echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

So long, and thanks for all the uptime!

Was steht denn dazu in den Logs vom Script?

Bei einem Exchange hat er bei uns auch gejammert, aber da hat ihn nur ein ZIP der VMware Tools mit dem VSS-Manifest-File gestört...

greetz

glockman

- There's no replacement for displacement. Not even Diesel. - ________________________________________________________________

Who is General Failure, and why is he reading my disk?

Welches logfile meinst du?

Ich habe LogAgeDays.csv und Cve-2021-26855

Vermutlich im Log, das mit Cve beginnt.

Nachdem ich dieses Log aber selbst nicht hab kann ich nicht genau sagen, was darin zu finden ist bzw. wie man es liest oder auswertet, sorry.

greetz

glockman

- There's no replacement for displacement. Not even Diesel. - ________________________________________________________________

Who is General Failure, and why is he reading my disk?

Es steht in den Zeilen nunr"

DateTime,"RequestId","ClientIpAddress","UrlHost","UrlStem","RoutingHint","UserAgent","AnchorMailbox","HttpStatus"

2021-03-06T11:22:08.204Z,"69b14dbb-52e1-4353-afa7-a297ec10faea","141.164.40.193","xx.xxx.xxx.xx","/ecp/x.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~akak]@xxxMX01.domain.local:444/autodiscover/autodiscover.xml?#","200"

aber es wurden keine datein abgelegt, alles Virenscanner finden nichts, nur diesen Tool gibt 8 Zeilen aus wie oben angeführt.

Also so wie es ausschaut hattest Du sehr wohl ungebetenen Besuch; es sei denn, Du hast Leute, die sich aus Korea/Japan bei Dir einloggen.
Auch kommt mir die Datei "x.js" in einem Exchange-Verzeichnis äußerst merkwürdig vor, und zu guter Letzt ist genau der Zugriff auf die ServerInfo-Anchormailbox ein Zeichen dafür, dass der Exploit bei Dir erfolgreich war (siehe auch https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/#scan-log ).

Dass die Scanner nichts finden muss nichts heißen, was genau bei Dir passiert ist wird sich unter Umständen nicht so schnell herausfinden lassen, insofern kannst Du jetzt eigentlich nur alles abschalten und zum letzten Backup zurückkehren, das vor dem ersten Eintrag in Log liegt. Alles danach darfst Du als kompromittiert ansehen.

greetz

glockman

- There's no replacement for displacement. Not even Diesel. - ________________________________________________________________

Who is General Failure, and why is he reading my disk?

Backups habe ich täglich drei. Das sollte also kein Problem sein, aber was passiert mit den Emails die ich zwischenzeitlich bekommen habe?

Ist nur der exchange Server betroffen oder muss ich all meine VM zurücksetzen?

Gleich vorweg: alles, was ich sag(t)e, ist meine unverbindliche Meinung als Privatperson.
Ich gebe ohne genauere Kenntnisse der Lage weder eine verbindliche Empfehlung noch Anweisungen. Tust Du etwas, inspiriert durch meine Aussagen, dann auf eigene Gefahr. Ich bin weder für eventuelle Schäden noch Datenverluste verantwortlich.

Ich rate Dir dringend, bevor Du etwas selbst machst, Dich an Deinen IT-Betreuer oder eine geeignete Firma zu wenden, die Dich dabei unterstützt.

So, nachdem das gesagt ist: die Lücke im Exchange ist, soweit mir bekannt, nur der Einfallsvektor zum Netzwerk. Ob nun (und überhaupt) nur der Exchange selbst oder auch andere Systeme betroffen sind lässt sich ohne Analyse nicht sagen. Daher musst Du ohne diesem Wissen davon ausgehen, dass alle Systeme potentiell kompromittiert sein können und entsprechend handeln. Das gilt im Zweifel auch für die Clients.

Was die Mails angeht: davon ausgehend, dass die Mailboxdatenbank(en) als solche nicht direkt betroffen sind, sollte es möglich sein, diese am aktuellen Server sauber auszuhängen (also clean shutdown) und dann auf einem wiederhergestellten oder neu aufgesetzen Server einfach einzuhängen. Damit hast Du de facto keinen Verlust von Mails.

greetz

glockman

- There's no replacement for displacement. Not even Diesel. - ________________________________________________________________

Who is General Failure, and why is he reading my disk?

Da nichts weiter zu finden ist geht meine IT davon aus, dass nichts passiert ist - ich bin aber etwas unsicher. Es wurden auch die Ordner nicht auf C: sondern auf D: gelegt möglicherweise konnte somit ein Zugriff verhindert werden?

Findet der https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download etwas?

nein auch nichts

Ich habe Exchange nicht im standard-verzeichnis installiert:

Wer seinen Exchange Server also nicht unter dem Standardpfad “C:\Program Files\Microsoft\Exchange Server” installiert hat, sondern beispielsweise auf einem anderen Laufwerk, der kann sich mal zurücklehnen und sich auf die Schulter klopfen: Gut gemacht!

Quelle: https://www.frankysweb.de/hafnium-kleines-update-zum-oeffentlichen-exploit/

Somit könnte es möglich sein, dass ich ein Glück gehabt habe

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

Hier sind einige Schritte die man checken kann ob man betroffen ist oder nicht. Ich bin auch gerade dabei - aber ich bin kein Exchange Profi und kann die Logs teilweise nur schwer auswerten.

Ich warte derzeit auf Feedback von unserem externen Partner.

Insofern bitter, da wir erst vor wenigen Monaten den neuen Exchange in Betrieb genommen haben.

12.03.2021, 07:57 Uhr - Editiert von playaz, alte Version: hier

Immer mehr Menschen beginnen zu verstehen, wozu Clouds und Service-Provider eigentlich gut sind...

Absolut.

Ich bin der einzige Admin der relativ viel Verantwortung hat und viel betreuen muss. Mein Schwerpunkt ist Citrix aber mit dem Abgang vom letzten Admin bin ich jetzt auch Netzwerk Admin, etc etc.

Aber wir haben einen Service Partner der Installationen, Migrationen etc durchführt wie ua. kürzlich Exchange.

Aber warum tut ihr euch ein eigenes Exchange an?

Dass jemand eigene Exchange Instanzen betreibt, ist ja angesichts der Komplexität und Kritikalität relativ unverständlich. Und verglichen mit O365 ist es ja am Ende des Tages nicht mal billiger.

Wir hatten die Lizenz schon gekauft - vor längerer Zeit.
Als nächstes nur noch Exchange Online.

Auch mit Exchange Online kommst Du nicht immer ohne lokalen Exchange aus - jedenfalls nicht, wenn Du eine Migration hinter Dir oder eine gewisse Unternehmensgröße hast.

Und ob Du dann einen Hybrid oder einen "vollwertigen" Exchange hast macht in so einem Fall auch schon keinen Unterschied mehr.

greetz

glockman

- There's no replacement for displacement. Not even Diesel. - ________________________________________________________________

Who is General Failure, and why is he reading my disk?

Verstehe ich nicht.

Ich kann als größerer Kunde nicht ohne lokalen Exchange Server leben? Ich habe alle Daten im Onedrive, verwende Teams etc und muss dann lokal Exchange haben - WOFÜR?

Wenn Du von Haus aus NUR in der Cloud beginnst, dann natürlich nicht. Dann hast Du aber auch vermutlich lokal kein AD und keine sonstigen Server, verwaltest die Endgeräte mit Intune statt GPOs und alles ist gut.

Wenn Du aber von einem lokalen Exchange nach Exchange Online migrierst schaut die Sache ein wenig anders aus.
Da hast Du ein lokales AD, dessen Daten erst mal in der Cloud (Azure AD) landen müssen. Dazu wird in der Regel ein Sync zwischen dem lokalen AD und Azure eingerichtet.

Und ab diesem Zeitpunkt sind die User zwar in der Cloud, aber das Management erfolgt über das AD. Das gilt dann auch für diverse Exchange-Attribute. Und die wiederum werden am lokalen Exchange verwaltet.

Prinzipiell ist es zwar möglich, ohne AD Sync vom lokalen Exchange in die Cloud zu gehen, aber Du musst dann sowohl das AD lokal als auch in der Cloud pflegen (weil kein Sync), verlierst jegliche SSO Möglichkeiten gegen O365, und vor allem: Du musst Exchange dann via harter Cut-Over Migration erledigen.

Dazu erst alle lokalen Postfächer in PSTs exportieren, die dann bei MS raufladen (oder Festplatten verschicken), Mappingfiles erstellen, welches File in welcher Mailbox landet, und warten, bis Microsoft diesen Import startet. Und so lange bist Du ohne alte Mails.

Auch hast Du keine saubere Möglichkeit, beide Systeme gleichzeitig zubetreiben - die Mails werden ja entweder an MS oder deinen lokalen Exchange zugestellt (MX Record). Nachdem sich die Systeme aber nicht kennen kannst Du sie nicht direkt verbinden, musst für die User in der Cloud bzw. lokal eigene Maildomänen/-adressen anlegen, um migrierten und nicht migrierten User die Kommunkation zu ermöglichen.

Und kommen dann auch noch öffentliche Ordner ins Spiel wird die Sache nochmal lustiger.

Um all das zu vereinfachen bzw. sich um (fast) nix kümmern zu müssen hat MS den Exchange-Hybridserver vorgesehen, der kostet bis Exchange 2016 auch nicht mal was, und in der Regel bleibt der auch nach der Migration bei Dir stehen (auch wenn es nicht absolut notwendig wäre).

greetz

glockman

- There's no replacement for displacement. Not even Diesel. - ________________________________________________________________

Who is General Failure, and why is he reading my disk?

Wir haben für einen unserer Kunden einige 1000 Mailuser nach O365 migriert. Und verwenden klarerweise das Azure-AD. Und jetzt startet ein AD Konsolidierungsprojekt, wo das Azure-AD das führende AD wird.

Die Projekte waren hart und MS ist auch gehörig ins Schwitzen gekommen aufgrund der massiven Securityrequirements. Aber jetzt ist der Dreck vom Hof und die MS muss sich drum kümmern, alle SLA‘s zu erfüllen. Und billiger ist es auch noch.

Ich denke, dass es mehr eine Sache des Wollens als des Könnens ist.

Wir haben für einen unserer Kunden einige 1000 Mailuser nach O365 migriert. Und verwenden klarerweise das Azure-AD. Und jetzt startet ein AD Konsolidierungsprojekt, wo das Azure-AD das führende AD wird.

Nachdem momentan das Azure AD nur wenige Attribute wieder nach On-Prem Syncen kann, weiß ich nicht wie das gehen soll dass Azure AD das führende AD wird. Außer ihr baut das AD lokal ab oder baut euch selber einen Sync vom Azure AD ins lokale AD.

Und ob Du dann einen Hybrid oder einen "vollwertigen" Exchange hast macht in so einem Fall auch schon keinen Unterschied mehr.

Also ob ich einen Management Server ohne Hybrid auf einer VM betreibe oder von mir aus zwei wegen der Ausfallsicherheit vs einer DAG mit 4 Datenbankkopien dass sind aber schon massive unterschiede

Welche cloud kannst du empfehlen? Derzeit haben 9 Exchange Konten wobei eines die office Adresse ist wo mehrere Personen zugriff haben sollen. Sowie zwei Adressen die eigentlich kein Exchange benötigen würden - da reicht auch ein IMAP. Speicherplatz sollte zumindest bei der office Adresse 50Gb oder größer sein

Ich kenne nur AWS und Azure.

Aber deine KMU Lösung klingt nach O365 von der Stange. https://www.microsoft.com/de-at/microsoft-365/enterprise/compare-office-365-plans

Macht es Sinn die Daten trotzdem am Server zu belassen und nur den Exchange in die Cloud zu geben? Können die Exchangedaten problemlos in die Cloud genommen werden? Wir haben bei einem Postfach immerhin schon 25GB

Das macht überhaupt keinen Sinn und geht am Service vorbei.
Ihr baut einen Hybrid auf https://docs.microsoft.com/en-us/exchange/exchange-hybrid

Migriert eure Daten hoch, und wenn ihr keinen AD-Sync macht dann baut ihr den Exchange wieder ab.
25GB sind in der cloud nix, ohne Lizenz haben Shared Mailboxen 50GB Limit und mit Exchange Lizenz 100GB + Archiv mit bis zu 1 TB.

Du meinst also, Fileserver und AD lokal belassen und nur Exchange in die Cloud. was ist der Unterschied zwischen https://www.microsoft.com/de-at/microsoft-365/exchange/compare-microsoft-exchange-online-plans und der Hybrid Version?

Es geht um maximal 4 Postfächer. Die restlichen E-Mail Adressen würde ich über meinen Webhoster machen und als IMAP Konten verwenden.

Ich hab keine Ahnung warum man auf die Idee kommt für die paar Postfächer einen Exchange zu betreiben.

Das sind zwei verschiedene Dinge:
der Plan ist die Lizenz (Abonnement) die du benötigst um die Mailboxen in der Cloud zu haben.
Der Hybrid ist eine Installation am Exchange Server um die Mailboxen vom Server in die cloud zu bekommen bzw. eine möglickeit die Postfächer zu migrieren.

Alle Daten rauf in die Cloud. Mit einem Schlag sind sie dann über alle Devices in der Firma zugreifbar, ohne dass man sich selbst um Absicherung von Netzen, VPN, Software patching, Off Site Backup etc kümmern muss. Und natürlich die diversen Fileshares ins Onedrive.

https://docs.microsoft.com/en-us/exchange/mailbox-migration/cutover-migration-to-office-365
https://docs.microsoft.com/en-us/sharepointmigration/fileshare-to-odsp-migration-guide

...da mach ich´s mir lieber selber

https://kurier.at/chronik/welt/brand-bei-europas-groesstem-cloudanbieter-zerstoerte-grosse-datenmengen/401218002

Nach Angaben der Webseite Journaldunet haben aber auch manche Kunden mit Backup alle Daten verloren. Denn auch die Backup-Server seien in einer anderen Halle des gleichen Datenzentrums gestanden und vom Feuer ebenfalls betroffen.

Jeder normale Cloudanbieter hat dutzende Rechenzentrums-Standorte und mehrfach verteilte Backups. Genau das, was du als kleiner Grabbler alles nicht zusammenbringst zu akzeptablen Kosten.

https://aws.amazon.com/de/about-aws/global-infrastructure/
https://azure.microsoft.com/de-de/global-infrastructure/geographies/

16.03.2021, 08:55 Uhr - Editiert von Paulas_Papa, alte Version: hier

OVH kümmert sich auch um sonst nichts.
Ich bin sogar ein klein wenig schadenfroh.

https://www.derstandard.at/story/2000125154310/nach-massenhack-microsoft-bringt-einfaches-tools-zur-bereinigung-von-exchange

Vielen Dank,

habe das Skript ausgeführt. Aber es werden nciht die nachfolgenden datein ins verzeichnis gelegt:

c - RewriteModuleInstall.log
d - one of the following IIS URL rewrite MSIs:

Somit wird auch nicht die \web.config rewirte angepasst.

Woran kann das liegen? Ich habe alle Updates und Patch eingespielt.

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung