HiSolutions Research – Seite 7 – Forschung für die Informationssicherheit von morgen

14. April 202114. April 2021Advisories, Hafnium

Hafnium Reloaded – Wieder kritische Schwachstellen in Microsoft Exchange

Und täglich grüßt das Murmeltier? Nicht ganz. Trotzdem erleben wir aktuell ein Déjà-vu mit Microsoft Exchange: Am 13.04.2021 19 Uhr MESZ wurden vier neue hochkritische Schwachstellen samt dazugehörigem Patch veröffentlicht. Das BSI warnt bereits vor der Schwachstelle und fordert dazu auf, sehr zeitnah die eigenen Systeme zu patchen. Die Cybersecurity and Infrastructure Security Agency (CISA) des US Department of Homeland Security (DHS) geht sogar noch einen Schritt weiter und wird am Freitag, den 16.04.2021 alle nicht gepatchten Systeme aus dem […]

25. März 202125. März 2021Hafnium

HAFNIUM/ProxyLogon: Self-Help Guide To Securing Microsoft Exchange

Due to the high demand for current, in-depth information on how to mitigate the HAFNIUM/ProxyLogon vulnerabilities in Microsoft Exchange we translated our free German HiSolutions Self-Help Guide into English.

25. März 202126. März 2021Cloud, Hafnium

HAFNIUM-Schwachstellen: Office 365/Microsoft 365/AD FS indirekt auch bedroht

[GTranslate] Von Inés Atug, Markus Drenger und Daniel Jedecke. Nach der Veröffentlichung des Out-of-Band-Patches für die als HAFNIUM bekannt gewordenen Schwachstellen in Exchange Servern haben viele Admins, die zuvor eine Migration nach Office 365 (jetzt Microsoft 365) durchgeführt hatten, aufgeatmet. Denn Microsoft zufolge ist Exchange Online von Hafnium nicht betroffen. Hiermit meint der Hersteller jedoch das Produkt an sich: Exchange Online ist weiterhin nicht direkt angreifbar. Aber Vorsicht: Es kann je nach Aufbau dennoch möglich sein, dass Angreifer auf den […]

23. März 202111. August 2022Advisories, Hafnium

HAFNIUM Exchange-Schwachstellen: Überblick

Die hochkritischen HAFNIUM-Lücken (CVE-2021-26855 aka ProxyLogon), CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065) bedrohen weiterhin IT-Infrastrukturen weltweit. Auf dieser Seite haben wir die wichtigsten Informationen und Hilfsmittel für Sie zusammengestellt. Update 14.4.2021: Durch neue kritische Exchange-Schwachstellen könnte eine weitere Hafnium-ähnliche Welle drohen. Wie Sie den Medien entnehmen konnten oder in nicht wenigen Fällen auch in der eigenen Betroffenheit bemerkt haben, beherrscht das Thema der kritischen Microsoft Exchange Lücke zur Zeit die IT. Bei HiSolutions haben wir aus allen Bereichen Ressourcen zusammengezogen, um den […]

18. März 202123. März 2021Advisories, Hafnium, Incidents

HiSolutions Discovers New HAFNIUM/ProxyLogon IoCs

by Daniel Jedecke, David Fuhr und Vincent Rockenfeld During our work on a large number of forensic analyses of HAFNIUM/ProxyLogon cases, we witnessed several cases where the recommended Microsoft tools (TestProxyLogon script and Safety Scanner/MSERT) do not find anything due to missing traces in the HttpProxy log. In those cases evidence can be found in the ECP Activity log as follow: Indicators of Compromise (IoCs): ./ECP/Activity/ECPActivity_39844_20210303-1.LOG: 2021-03-03T06:43:32.531Z ,EX01, ,S:FE=EX01.FOOBAR.LOCAL;S:URL=https://ex01.foobar.local:444 /ecp/proxyLogon.ecp (https://owa.foobar.com/ecp/y.js);S:Bld=15.1.2106.2;S:ActID=def0-b0e6-2342-5e2c-23a8ff1962a1;Dbl:WLM.TS=0 ./ECP/Activity/ECPActivity_39844_20210303-1.LOG: 2021-03-03T06:43:32.963Z, EX01,Request,S:PSA= administrator@foobar.com ;S:FE=EX01.FOOBAR.LOCAL;S:URL=https://ex01.foobar.local:444 /ecp/proxyLogon.ecp (https://owa.foobar.com/ecp/y.js) With the […]

18. März 202119. März 2021Advisories, Ransomware

Schutz gegen Ransomware: HiSolutions Selbsthilfe Offline-Backup

von Enno Ewers, Clara Eichel, Daniel Jedecke & Andreas Salm Ransomware ist und bleibt die größte IT-Bedrohung für Unternehmen und öffentliche Einrichtungen. Alle Daten eines digitalen Systems können im Angriffsfall verschlüsselt werden – das schließt Sicherungskopien mit ein. Häufig werden diese sogar zuerst vom Angreifer gelöscht, gesperrt oder manipuliert. Beim klassischen Backup ist das oberste Ziel die schnelle Wiederherstellbarkeit für „normale“ Fehlfunktionen, daher sind die Backup-Daten oft „live“ im Zugriff durch die IT-Infrastruktur – und damit auch durch den Angreifer. […]

18. März 202123. März 2021Advisories, Hafnium, Incidents

HiSolutions entdeckt neue HAFNIUM/ProxyLogon IoCs

von Daniel Jedecke, David Fuhr und Vincent Rockenfeld For English version of this advisory, please see here. Bei der großen Menge an forensischen Untersuchungen zum Thema HAFNIUM/ProxyLogon, die wir aktuell durchführen, haben wir in mehreren Fällen gesehen, dass die Microsoft-Tools (Skripte bzw. Safety Scanner aka MSERT) nichts finden, da im HttpProxy-Log kein ProxyLogon zu sehen war, während der Zugriff im ECP Activity Log nachvollziehbar war. Hier die Indikatoren für eine Kompromittierung (IoCs): ./ECP/Activity/ECPActivity_39844_20210303-1.LOG: 2021-03-03T06:43:32.531Z ,EX01, ,S:FE=EX01.FOOBAR.LOCAL;S:URL=https://ex01.foobar.local:444 /ecp/proxyLogon.ecp (https://owa.foobar.com/ecp/y.js);S:Bld=15.1.2106.2;S:ActID=def0-b0e6-2342-5e2c-23a8ff1962a1;Dbl:WLM.TS=0 ./ECP/Activity/ECPActivity_39844_20210303-1.LOG: 2021-03-03T06:43:32.963Z, […]

15. März 20212. August 2022Advisories, Hafnium, Incidents

Hafnium – Eine Hilfestellung zur Überwachung Ihrer Systeme mit Loki

Da die Schwachstellen bereits durch mehrere unterschiedliche Gruppen ausgenutzt wird, reicht es aktuell nicht aus, nur nach einer bestimmten Malware oder Webshell zu suchen. Aus diesem Grund hat das BSI eine Übersicht veröffentlicht, welche weiteren Analysen auf den Systemen durchgeführt werden sollten. Zur Vereinfachung der Anwendung haben wir uns entschlossen, Ihnen eine Hilfestellung bei der Nutzung des Scanners Thor-Lite zu geben, welcher ebenfalls in der Hilfe des BSI erwähnt wurde. Zudem verweisen wir auf einen guten Artikel zur Überprüfung Ihres […]

10. März 202126. März 2021Advisories, Hafnium

HAFNIUM/ProxyLogon bei Microsoft Exchange: Hilfe zur Selbsthilfe

[GTranslate] UPDATE vom 24.03.2021: Empfehlung zur Dauer der Überwachung der Systeme nach Kompromittierung durch ProxyLogon ergänzt (12 Monate). English version is here. Feedback ist gerne erwünscht. Aufgrund der Kritikalität der Schwachstelle haben wir uns entschlossen, alle Informationen hierzu als TLP-WHITE zu veröffentlichen. Das Dokument ist zudem lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz. Für jeweils aktuelle Infos abonnieren Sie auch gerne unseren monatlichen Cybersecurity Digest. UPDATE vom 17.03.2021: Wir haben die HAFNIUM-Selbsthilfe auf den neusten Stand gebracht und Tool- […]

9. März 202123. März 2021Advisories, Hafnium

HAFNIUM/ProxyLogon: Akute Angriffswelle auf Microsoft Exchange

Seit in der Nacht zum Mittwoch, 3. März 2021, das Microsoft Threat Intelligence Center (MSTIC) über eine akute Angriffswelle auf Microsoft Exchange Server informiert hat, haben IT-Organisationen weltweit alle Hände voll zu tun, die ausgenutzten Schwachstellen (inkl. ProxyLogon) zu schließen, eine mögliche Kompromittierung abzuchecken und ggf. Aufräumarbeiten durchzuführen. Auch wenn Microsoft umgehend Out-of-band Updates veröffentlich hat, wurde schnell klar, dass die vier beschriebenen Schwachstellen in Kombination bereits für zielgerichtete Angriffe verwendet wurden und vielerorts die Möglichkeit boten und bieten, Daten […]