Exchange Server ProxyLogon Verwundbarkeit

Kurz und knapp möchte ich mein „Script“ vorstellen, wie ein Exchange Admin bei dem Sicherheitsproblem, welches auch „Hafnium“ oder „ProxyLogon“ genannt wird, jetzt noch vorgehen kann:

  1. Angriffe unterbinden
    1. Bevor irgendwas gemacht wird, sollte der Zugriff auf OWA von außen unterbunden werden. Am besten die dazugehörige Firewall-Regel deaktivieren.
    2. Den Patch installieren.
      Erfolg mit nmap testen (Script hier, Beispiel):
      nmap -Pn -p T:443 --script http-vuln-cve2021-26855 exchange.domain.tld
  2. Kompromittierung feststellen
    1. Powershell-Script Test-ProxyLogon.ps1 ausführen.
    2. Bei somit festgestellter potenzieller Kompromittierung: MSERT ausführen (vollständiger Scan).
  3. Grad der Kompromittierung
    1. Manuelle Überprüfung der benannten Logfiles aus 2.1. Vergleiche auch Windows Eventlog „Anwendungs- und Dienstprotokolle -> MSExchange Management“.
    2. Manuelle Überprüfung des Logs aus 2.2 (C:\Windows\debug\msert.log -> waren Webshells als aspx-Dateien unter c:\inetpub\wwwroot\aspnet_client\system_web zu finden?)
    3. Manuelle Überprüfung der IIS-Logs (c:\inetpub\logs\LogFiles) mit bspw. Notepad++ nach diesem Regex: GET \/owa\/auth\/(.*).(png|gif)\s
    4. Überprüfung OabVirtualDirectory External URI
    5. Überprüfung AD auf neue Benutzer. Powershell:
      $days=Get-Date).AddDays(-30)
      Get-ADUser -Filter * -Property whenCreated | where {$_.whenCreated -gt $days} | ft Name,whenCreated -autosize
    6. Überprüfung wesentliche AD Sicherheitsgruppen:
      • Domänen-Admins
      • Organisations-Admins
      • usw.
    7. Überprüfung installierte Dienste auf Exchange Server und AD Server
      • Ich habe gelesen, man soll nach opera_browser.exe in der Registry unter HKLM\SYSTEM\CurrentControlSet\Services Ausschau halten.
    8. Geplante Aufgaben auf Exchange Server und AD Server überprüfen.
    9. Laufende Prozesse auf Exchange Server und AD Server prüfen.
    10. Auf dem Exchange-Server im Verzeichnis C:\Windows\Temp nach Batch-Dateien (.bat) Ausschau halten
  4. Gegenmaßnahmen
    1. Erneuern der Passwörter aller Domain Benutzer, insbesondere Administratoren.
    2. Zurückziehen des SSL-Zertifikats und Ausstellung eines neuen SSL-Zertifikats mit neuem(!) Private Key.

Kein Anspruch auf Vollständigkeit. Gerne nehme ich weitere Vorschläge/Hinweise mit auf.

Weitere Informationsquellen: