{"id":250989,"date":"2021-03-13T17:15:42","date_gmt":"2021-03-13T16:15:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=250989"},"modified":"2023-06-08T22:42:46","modified_gmt":"2023-06-08T20:42:46","slug":"proxylogon-hack-repository-fr-betroffene-exchange-administratoren","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/03\/13\/proxylogon-hack-repository-fr-betroffene-exchange-administratoren\/","title":{"rendered":"ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren"},"content":{"rendered":"

[English<\/a>]Was kann ich als Administrator von Exchange Servern angesichts der laufenden Angriffswellen auf die ProxyLogon-Schwachstellen tun? Was muss ich beachten? Wie finde ich heraus, ob die Instanzen bereits kompromittiert sind? Das Repository soll f\u00fcr Exchange-Administratoren eine Hilfestellung an die Hand geben, um schnell zu den wichtigsten Informationen zu gelangen.<\/p>\n

<\/p>\n

\"\"Das Thema Exchange-Massenhack durch die Hafnium-Gruppe sowie die Problematik um die ProxyLogon-Schwachstellen schickt ja Schockwellen durch das Microsoft Eco-System. Aktuell nutzen mindestens zehn Bedrohungsakteure die Schwachstellen aus und versuchen Exchange Server, die per Internet erreichbar sind, zu kompromittieren. Von der Installation von Crypto-Minern, \u00fcber das Stehlen von Informationen oder Eindringen in Active Directory-Strukturen bis hin zur Verteilung von Ransomware ist alles dabei. Das Thema wird sich noch lange besch\u00e4ftigen. Wer f\u00fcr Exchange-Server verantwortlich ist, steht vor dem Frage: Wie die Installationen absichern und bin ich bereits kompromittiert?<\/p>\n

Exchange Server identifizieren und ggf. vom Netz trennen<\/h2>\n

Im ersten Schritt ist sicherzustellen, dass alle On-Promises Exchange Server (Versionen 2010, 2013, 2016 und 2019) in der Unternehmensstruktur bekannt und deren Standorte identifiziert sind. Es sollte auch gepr\u00fcft werden, ob der betreffende Exchange Server per Port 443 per Internet erreichbar ist – und falls ja, durch entsprechende Ma\u00dfnahmen (Reverse Proxy mit Schutzma\u00dfnahmen etc.) gesichert wurde. Falls nicht, empfiehlt es sich, den Exchange Server zumindest vor\u00fcbergehend vom Internet zu trennen.<\/p>\n

Palo Alto gibt hier<\/a> an, dass es der erste Angriff die F\u00e4higkeit erfordert, eine nicht vertrauensw\u00fcrdige Verbindung zum Exchange Server-Port 443 herzustellen. Administratoren k\u00f6nnen sich dagegen sch\u00fctzen, indem Sie den Zugriff von nicht vertrauensw\u00fcrdigen Benutzern auf das System einschr\u00e4nken. Dies kann erreicht werden, indem Administratoren den Zugriff auf das System nur von Benutzern erlauben, die sich bereits \u00fcber ein VPN authentifiziert haben, oder indem eine Firewall verwendet wird, um den Zugriff auf bestimmte Hosts oder IP-Bereiche zu beschr\u00e4nken. Die Verwendung dieser Abschw\u00e4chung sch\u00fctzt nur vor dem ersten Teil des Angriffs. Andere Teile der Kette k\u00f6nnen immer noch ausgel\u00f6st werden, wenn ein Angreifer bereits Zugriff auf das Netzwerk hat oder einen Administrator \u00fcberzeugen kann, eine b\u00f6sartige Datei zu \u00f6ffnen.<\/p><\/blockquote>\n

Als n\u00e4chstes sind alle Protokolle (Logs) zu sichern, um ggf. eine Kompromittierung \u00fcberhaupt nachweisen und nachvollziehen zu k\u00f6nnen.<\/p>\n

Ist der Exchange Server kompromittiert?<\/h2>\n

Ein ungepatchter und per Internet \u00fcber Port 443 erreichbarer (und sonst ungesch\u00fctzter) Exchange Server d\u00fcrfte inzwischen durch eine Webshell als Backdoor oder andere Malware kompromittiert sein. Nach den obigen Ma\u00dfnahmen empfiehlt sich daher die Pr\u00fcfung, ob die Maschine bereits kompromittiert ist. Problem ist, dass diese Schwachstellen seit (m\u00f6glicherweise) dem 3. Januar 2021 angegriffen werden. Wie kriege ich nun heraus, ob der Server bereits infiziert ist?<\/p>\n