Exchange Server ProxyLogon Verwundbarkeit

Kurz und knapp möchte ich mein „Script“ vorstellen, wie ein Exchange Admin bei dem Sicherheitsproblem, welches auch „Hafnium“ oder „ProxyLogon“ genannt wird, jetzt noch vorgehen kann:

1. Angriffe unterbinden
   1. Bevor irgendwas gemacht wird, sollte der Zugriff auf OWA von außen unterbunden werden. Am besten die dazugehörige Firewall-Regel deaktivieren.
   2. Den Patch installieren.
      Erfolg mit nmap testen (Script hier, Beispiel):
      nmap -Pn -p T:443 --script http-vuln-cve2021-26855 exchange.domain.tld
2. Kompromittierung feststellen
   1. Powershell-Script Test-ProxyLogon.ps1 ausführen.
   2. Bei somit festgestellter potenzieller Kompromittierung: MSERT ausführen (vollständiger Scan).
3. Grad der Kompromittierung
   1. Manuelle Überprüfung der benannten Logfiles aus 2.1. Vergleiche auch Windows Eventlog „Anwendungs- und Dienstprotokolle -> MSExchange Management“.
   2. Manuelle Überprüfung des Logs aus 2.2 (C:\Windows\debug\msert.log -> waren Webshells als aspx-Dateien unter c:\inetpub\wwwroot\aspnet_client\system_web zu finden?)
   3. Manuelle Überprüfung der IIS-Logs (c:\inetpub\logs\LogFiles) mit bspw. Notepad++ nach diesem Regex: GET \/owa\/auth\/(.*).(png|gif)\s
   4. Überprüfung OabVirtualDirectory External URI
   5. Überprüfung AD auf neue Benutzer. Powershell:
      $days=Get-Date).AddDays(-30)
Get-ADUser -Filter * -Property whenCreated | where {$_.whenCreated -gt $days} | ft Name,whenCreated -autosize
   6. Überprüfung wesentliche AD Sicherheitsgruppen:
      • Domänen-Admins
      • Organisations-Admins
      • usw.
   7. Überprüfung installierte Dienste auf Exchange Server und AD Server
      • Ich habe gelesen, man soll nach opera_browser.exe in der Registry unter HKLM\SYSTEM\CurrentControlSet\Services Ausschau halten.
   8. Geplante Aufgaben auf Exchange Server und AD Server überprüfen.
      • Insbesondere wohl: \Microsoft\Windows\VSPerfMon
   9. Laufende Prozesse auf Exchange Server und AD Server prüfen.
   10. Auf dem Exchange-Server im Verzeichnis C:\Windows\Temp nach Batch-Dateien (.bat) Ausschau halten
4. Gegenmaßnahmen
   1. Erneuern der Passwörter aller Domain Benutzer, insbesondere Administratoren.
   2. Zurückziehen des SSL-Zertifikats und Ausstellung eines neuen SSL-Zertifikats mit neuem(!) Private Key.

Kein Anspruch auf Vollständigkeit. Gerne nehme ich weitere Vorschläge/Hinweise mit auf.

Weitere Informationsquellen:

• https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132.html?nn=893136
• https://www.oneconsult.com/de/aktiv-ausgenutzte-zero-day-schwachstellen-in-microsoft-exchange-cve-2021-26855-cve-2021-26857-cve-2021-26858-und-cve-2021-27065/
• https://us-cert.cisa.gov/ncas/alerts/aa21-062a
• https://blog.truesec.com/2021/03/07/exchange-zero-day-proxylogon-and-hafnium/