Kurz und knapp möchte ich mein „Script“ vorstellen, wie ein Exchange Admin bei dem Sicherheitsproblem, welches auch „Hafnium“ oder „ProxyLogon“ genannt wird, jetzt noch vorgehen kann:
- Angriffe unterbinden
- Bevor irgendwas gemacht wird, sollte der Zugriff auf OWA von außen unterbunden werden. Am besten die dazugehörige Firewall-Regel deaktivieren.
- Den Patch installieren.
Erfolg mit nmap testen (Script hier, Beispiel):nmap -Pn -p T:443 --script http-vuln-cve2021-26855 exchange.domain.tld
- Kompromittierung feststellen
- Powershell-Script Test-ProxyLogon.ps1 ausführen.
- Bei somit festgestellter potenzieller Kompromittierung: MSERT ausführen (vollständiger Scan).
- Grad der Kompromittierung
- Manuelle Überprüfung der benannten Logfiles aus 2.1. Vergleiche auch Windows Eventlog „Anwendungs- und Dienstprotokolle -> MSExchange Management“.
- Manuelle Überprüfung des Logs aus 2.2 (C:\Windows\debug\msert.log -> waren Webshells als aspx-Dateien unter c:\inetpub\wwwroot\aspnet_client\system_web zu finden?)
- Manuelle Überprüfung der IIS-Logs (c:\inetpub\logs\LogFiles) mit bspw. Notepad++ nach diesem Regex: GET \/owa\/auth\/(.*).(png|gif)\s
- Überprüfung OabVirtualDirectory External URI
- Überprüfung AD auf neue Benutzer. Powershell:
$days=Get-Date).AddDays(-30)
Get-ADUser -Filter * -Property whenCreated | where {$_.whenCreated -gt $days} | ft Name,whenCreated -autosize - Überprüfung wesentliche AD Sicherheitsgruppen:
- Domänen-Admins
- Organisations-Admins
- usw.
- Überprüfung installierte Dienste auf Exchange Server und AD Server
- Ich habe gelesen, man soll nach opera_browser.exe in der Registry unter HKLM\SYSTEM\CurrentControlSet\Services Ausschau halten.
- Geplante Aufgaben auf Exchange Server und AD Server überprüfen.
- Insbesondere wohl: \Microsoft\Windows\VSPerfMon
- Laufende Prozesse auf Exchange Server und AD Server prüfen.
- Auf dem Exchange-Server im Verzeichnis C:\Windows\Temp nach Batch-Dateien (.bat) Ausschau halten
- Gegenmaßnahmen
- Erneuern der Passwörter aller Domain Benutzer, insbesondere Administratoren.
- Zurückziehen des SSL-Zertifikats und Ausstellung eines neuen SSL-Zertifikats mit neuem(!) Private Key.
Kein Anspruch auf Vollständigkeit. Gerne nehme ich weitere Vorschläge/Hinweise mit auf.
Weitere Informationsquellen:
- https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132.html?nn=893136
- https://www.oneconsult.com/de/aktiv-ausgenutzte-zero-day-schwachstellen-in-microsoft-exchange-cve-2021-26855-cve-2021-26857-cve-2021-26858-und-cve-2021-27065/
- https://us-cert.cisa.gov/ncas/alerts/aa21-062a
- https://blog.truesec.com/2021/03/07/exchange-zero-day-proxylogon-and-hafnium/