HAFNIUM/ProxyLogon bei Microsoft Exchange: Hilfe zur Selbsthilfe
[GTranslate]
UPDATE vom 24.03.2021: Empfehlung zur Dauer der Überwachung der Systeme nach Kompromittierung durch ProxyLogon ergänzt (12 Monate).
English version is here.
Feedback ist gerne erwünscht. Aufgrund der Kritikalität der Schwachstelle haben wir uns entschlossen, alle Informationen hierzu als TLP-WHITE zu veröffentlichen. Das Dokument ist zudem lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz.
Für jeweils aktuelle Infos abonnieren Sie auch gerne unseren monatlichen Cybersecurity Digest.
UPDATE vom 17.03.2021: Wir haben die HAFNIUM-Selbsthilfe auf den neusten Stand gebracht und Tool- und Maßnahmenempfehlungen geschärft. Angesichts der zu erwartenden Angriffe über abgeflossene E-Mails und Kontakte haben wir auch unsere Empfehlungen zur Sensibilisierung vor Phishing-Angriffen konkretisiert.
UPDATE vom 14.03.2021: Wir haben am Wochenende parallel zur Incident Response weiteren Research betrieben und uns mit vielen Leuten ausgetauscht. Wir haben erste Erkenntnisse, dass die Angreifer Dateiberechtigungen verändern, um das Installieren von Patchen zu verhindern. Zudem stellen wir vermehrt Ransomware-Angriffe fest.
Auch haben wir ein Update bezüglich des Microsoft Support Emergency Response Tools (MSERT) eingearbeitet. Obwohl MSERT für diesen Anlass angemessen ist, raten wir aktuell zur Vorsicht bei der Nutzung. Das Tool löscht u. U. Shells und kann die vollständige Bereinigung nicht sicherstellen und die Forensik erschweren.
Zudem haben wir nun auch ein Dokument veröffentlich, um mittels Thor Lite die Systeme zu untersuchen und eine grundlegende Überprüfung des Active Directory durchzuführen.
UPDATE vom 12.03.2021 Teil 2: Wir haben die Maßnahmen (auch nach einer möglichen Kompromittierung) umfangreich angepasst. Sobald wir mehr Informationen über die aktuell verteile Ransomware haben werden diese noch nachsteuern. Das BSI hat seine Warnmeldung heute ebenfalls aktualisiert.
UPDATE vom 12.03.2021: Wir haben das Dokument erneut aktualisiert. Feedback gerne wieder an uns. Zudem haben wir einen Verweis auf den Datenschutz eingebaut sowie die Maßnahmen konkretisiert.
UPDATE vom 10.03.2021: Vielen Dank für das viele Feedback und die Anregungen. Wir haben das Dokument überarbeitet und die neusten Empfehlungen des BSI, Erkenntnisse aus der Forensik sowie einige Vereinfachungen im Bereich Monitoring eingearbeitet. Feedback weiterhin gerne an uns oder per Twitter an (@Jedi_meister).
Um unseren Kunden einen ersten Leitfaden zum Umgang mit der HAFNIUM/ProxyLogon-Thematik an die Hand zu geben, haben wir einen Leitfaden „Hilfe zur Selbsthilfe“ herausgebracht. Dieser kombiniert die Empfehlungen des BSI, unsere fachliche Expertise sowie Informationen des Herstellers Microsoft.
Der Leitfaden soll als erster Indikator dienen und eine einfach zu befolgende Checkliste darstellen. Wir aktualisieren das Dokument laufend mit den neusten Erkenntnissen aus unseren Fällen.
Aufgrund der Kritikalität der Schwachstelle verteilen wir den Leitfaden kostenfrei. Sofern Sie Microsoft Exchange nutzen, prüfen Sie bitte, ob Sie bereits alle Schritte durchgeführt haben. Beachten Sie, dass Microsoft am 09.03.2021, dem regulären Patch Tuesday, weitere kritische Lücken in seinen Produkten geschlossen hat!
Weitere Informationen unter: