{"id":250792,"date":"2021-03-07T02:35:00","date_gmt":"2021-03-07T01:35:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=250792"},"modified":"2021-03-13T18:32:13","modified_gmt":"2021-03-13T17:32:13","slug":"neues-zum-exchange-hack-testtools-von-microsoft-co","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/03\/07\/neues-zum-exchange-hack-testtools-von-microsoft-co\/","title":{"rendered":"Neues zum Exchange-Hack – Testtools von Microsoft & Co."},"content":{"rendered":"

[English<\/a>]Der Hafnium-Hacker-Gruppe ist es wohl gelungen, weltweit Hundertausende an Exchange-Installationen \u00fcber Schwachstellen zu kompromittieren. Ein Patch zum Schlie\u00dfen der Schwachstellen steht zwar bereit, aber es kann zu sp\u00e4t sein. Inzwischen gibt es aber von Microsoft und Dritten Tools, um Exchange-Instanzen auf Anzeichen des Hacks zu \u00fcberpr\u00fcfen.<\/p>\n

<\/p>\n

Hundertausende Exchange-Server infiltriert<\/h2>\n

\"\"Es scheint, dass nach der SolarWinds-Attacke durch mutma\u00dflich staatsnahe russische Angreifer der n\u00e4chste Sicherheits-GAU gerade offenbart wurde. Hacker der mutma\u00dflich staatsnahen chinesischen Hackergruppe Hafnium haben monatelang Schwachstellen in On-Premise Exchange Servern zum Eindringen benutzt. Die Schwachstelle wurde erst am 2. M\u00e4rz 2021 durch Sicherheitsupdates geschlossen. Ich hatte in diversen Blog-Beitr\u00e4gen dar\u00fcber berichtet (siehe Artikelende). Und im Volexity-Blog (deren Sicherheitsforscher haben den Angriff und die Schwachstellen entdeckt) findet sich dieser Beitrag<\/a> zum Thema.<\/p>\n

Ziel der Angreifer war es, Kontrolle \u00fcber die E-Mails der Opfer zu bekommen und m\u00f6glicherweise \u00fcber die Active Directory-Berechtigungen auf deren Netzwerk-Infrastruktur zuzugreifen und sich dort einzunisten. Vor wenigen Tagen ging ich noch davon aus, dass nur einige wenige US-Institutionen und Firmen gezielt angegriffen wurden.<\/p>\n

Inzwischen steht fest, dass Massen-Scans im Internet erfolgten und die Hafnium-Gruppe wohl aggressiv versuchte, angreifbare Exchange-Instanzen zu infiltrieren. Im Beitrag Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a> hatte ich die Warnung des BSI transportiert, die von Tausenden deutscher Exchange-Installationen, die gehackt wurden, ausgeht. Das BSI hat angefangen, identifizierte Betroffene per Post zu informieren.<\/p>\n

\"Infizierte<\/a>
\nInfizierte Exchange-Server, Quelle: Rapid7<\/a> – Zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Sicherheitsanbieter Rapid7 geht in diesem Artikel<\/a> von 170.000 gef\u00e4hrdeten Exchange-Servern aus, wobei es in den USA und in Deutschland wohl \"Hot-Spots\" mit mehr als 10.000 Instanzen gibt. Im Beitrag sind auch IP-Adressen angegeben, die das Internet scannen – und es findet sich eine Analyse, wie man eine Infektion erkennen k\u00f6nnte. Weitere Informationen und Analysen liefert dieser Microsoft-Artikel<\/a>, sowie diese US-CERT-Warnung<\/a>.<\/p>\n

Das Ganze ist ein GAU, d\u00fcrfte es doch viele kleine Unternehmen getroffen haben, wo ein Exchange-Server herumd\u00fcmpelt (siehe auch diesen Wired-Beitrag<\/a>). Sicherheitsforscher des entdeckenden Sicherheitsanbieters Volexity betrachten das Ganze als tickende Zeitbombe. Und jetzt noch patchen hilft nicht, wenn die Hafnium-Gruppe bereits eine Webshell als Backdoor installiert hat.<\/p>\n

Scan-Tools von Microsoft & Co.<\/h2>\n

Microsoft hat ein bereits seit l\u00e4ngerem bestehendes, als Test-Hafnium bekanntes, PowerShell-Script mit dem Namen\u00a0 Test-ProxyLogon.ps1<\/em> so erweitert, dass es die jetzt genutzten Schwachstellen erkennt. Das Script sowie zus\u00e4tzliche Hinweise finden sich auf GitHub<\/a>.<\/p>\n

\"Test-ProxyLogon.ps1<\/a><\/p>\n

Bleeping Computer weist in obigem Tweet<\/a> auf das PowerShell-Script Test-ProxyLogon.ps1<\/a> hin – in diesem Artikel<\/a> finden sich noch einige Hinweise zum Thema. Microsoft Sicherheitsforscher Kevin Beaumont weist in folgendem Tweet<\/a> auf ein offizielles Microsoft nmap-Skript<\/a> hin, das unabh\u00e4ngig von der CU\/SU-Situation identifiziert, ob Systeme f\u00fcr die Exchange-Schwachstellen anf\u00e4llig sind. Keine Authentifizierung erforderlich.<\/p>\n

\"Microsoft<\/a><\/p>\n

Microsoft nmap Script f\u00fcr Exchange-Schwachstellen<\/p>\n

Auch das CERT Lettland hat auf GitHub ein Script<\/a> ver\u00f6ffentlicht, mit dem sich pr\u00fcfen l\u00e4sst, ob ein Exchange-Server mit einer Webshell infiziert wurde. Catalin Cimpanu weist in nachfolgendem Tweet<\/a> auf das Thema hin.<\/p>\n

\"Exchange-Test<\/a>
\nExchange-Test des CERT-Lettland<\/p>\n

Erg\u00e4nzung:<\/strong> Beachtet auch die Hinweise in den nachfolgenden Beitr\u00e4gen, insbesondere unter Exchange-Hack: Neue Patches und neue Erkenntnisse<\/a>.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nExchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a>
\nWichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nExchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nNeues zum Exchange-Hack \u2013 Testtools von Microsoft & Co.<\/a>
\nMicrosoft MSERT hilft bei Exchange-Server-Scans<\/a>
\nExchange-Hack: Neue Patches und neue Erkenntnisse<\/a>
\nAnatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a>
\nExchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a>
\nNeues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)<\/a>
\nGab es beim Exchange-Massenhack ein Leck bei Microsoft?<\/a>
\nProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der Hafnium-Hacker-Gruppe ist es wohl gelungen, weltweit Hundertausende an Exchange-Installationen \u00fcber Schwachstellen zu kompromittieren. Ein Patch zum Schlie\u00dfen der Schwachstellen steht zwar bereit, aber es kann zu sp\u00e4t sein. Inzwischen gibt es aber von Microsoft und Dritten Tools, um Exchange-Instanzen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5359,4328],"class_list":["post-250792","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/250792","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=250792"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/250792\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=250792"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=250792"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=250792"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}