{"id":250812,"date":"2021-03-08T01:47:01","date_gmt":"2021-03-08T00:47:01","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=250812"},"modified":"2021-03-13T17:35:35","modified_gmt":"2021-03-13T16:35:35","slug":"microsoft-msert-hilft-bei-exchange-server-scans","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/03\/08\/microsoft-msert-hilft-bei-exchange-server-scans\/","title":{"rendered":"Microsoft MSERT hilft bei Exchange-Server-Scans"},"content":{"rendered":"

[English<\/a>]Redmond hat die neueste Version des Microsoft Support Emergency Response Tool (MSERT) um Sicherheitsinformationen erweitert. Das Tool l\u00e4sst sich nun ausf\u00fchren, um die neuesten Bedrohungen in Sachen Exchange Server zu erkennen und zu beseitigen. Konkret findet das Tool installierte Web Shells in Exchange-Instanzen.<\/p>\n

<\/p>\n

Der Exchange Meldown<\/h2>\n

\"\"Meltdown bezeichnet zwar eine Hardware-Schwachstelle, ist aber in der deutschen \u00dcbersetzung mit Einschmelzen, Durchbrennen oder Zusammenbruch gleichzusetzen. Als Kernschmelze l\u00e4sst sich auch das interpretieren, was mit Microsofts Exchange Server jetzt passiert ist. Ich hatte es im Blog-Beitrag Neues zum Exchange-Hack \u2013 Testtools von Microsoft & Co.<\/a> angesprochen. Hacker der mutma\u00dflich staatsnahen chinesischen Hackergruppe Hafnium haben monatelang diverse Schwachstellen (siehe Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a>) in On-Premise Exchange Servern zum Eindringen benutzt.<\/p>\n

Die Schwachstellen k\u00f6nnen erst seit dem 2. M\u00e4rz 2021 durch Sicherheitsupdates, die Microsoft ver\u00f6ffentlicht hat, geschlossen werden. Ich hatte in diversen Blog-Beitr\u00e4gen dar\u00fcber berichtet (siehe Artikelende). Und im Volexity-Blog (deren Sicherheitsforscher haben den Angriff und die Schwachstellen entdeckt) findet sich dieser Beitrag<\/a> zum Thema.<\/p>\n

\"Infizierte<\/a>
\nInfizierte Exchange-Server, Quelle: Rapid7<\/a> \u2013 Zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Sicherheitsanbieter Rapid7 geht in diesem Artikel<\/a> von 170.000 gef\u00e4hrdeten Exchange-Servern aus, wobei es in den USA und in Deutschland wohl \u201eHot-Spots\" mit mehr als 10.000 Instanzen gibt (aktuell, 12.3., sind es fast 300.000). Weitere Informationen und Analysen liefert dieser Microsoft-Artikel<\/a>, sowie diese US-CERT-Warnung<\/a>. Interessant ist in diesem Kontext der Kommentar von Stephan<\/a>, der darauf hinweist, dass die taiwanesische Firma DEVCORE zwei der Schwachstellen bereits im Dezember 2020 gefunden und an Microsoft gemeldet hat. Also lange bevor die Massenangriffe gestartet wurden (siehe die Timeline hier<\/a>).<\/p>\n

Die US CISA weist in diesem Tweet<\/a> darauf hin, dass alle Unternehmen Ma\u00dfnahmen ergreifen sollten, um die beobachteten Schwachstellen mit Microsoft Exchange On-Premises-Produkten zu beheben. Dies gilt auch f\u00fcr hybride Konfigurationen, bei denen sich Exchange-Server in Netzwerken befinden, aber Daten in O365-Cloud-Umgebungen \u00fcbertragen werden. Die Directive ist hier abrufbar<\/a>.<\/p>\n

Microsoft MSERT hilft Defender beim Exchange-Scan<\/h2>\n

Aktuell brennt da nat\u00fcrlich weltweit (bildlich gesprochen) die H\u00fctte – und Administratoren d\u00fcrften, sofern sie es mitbekommen haben, am heutigen 8. M\u00e4rz 2021 mit hei\u00dfen Ohren ihre Exchange Server-Instanzen auf eine Infektion \u00fcberpr\u00fcfen. Microsoft hat Power-Shell-Scripte ver\u00f6ffentlicht, die das tun sollen (aber unter Exchange Server 2010 nicht laufen). Ich hatte kurz im Beitrag Neues zum Exchange-Hack \u2013 Testtools von Microsoft & Co.<\/a> berichtet.<\/p>\n

\u00dcber aktualisierte Signaturdateien kann der Microsoft Defender die nachfolgenden Web-Shells erkennen, die von den Angreifern \u00fcber 0-day-Schwachstellen auf Systemen installiert werden:<\/p>\n