HiSolutions Research

Unser Schwachstellenreport: Was wurde besser? Was nicht?

Letzte Woche haben wir unseren jährlichen Schwachstellenreport veröffentlicht –erstmals nicht nur basierend auf den Prüfergebnissen unserer Pentester, sondern auch mit den wichtigsten Erkenntnissen aus unseren Forensik- und Incident-Response-Einsätzen. Darunter finden sich auch unsere Top-5-Maßnahmen zur Prävention, die die Auswirkungen reduziert oder gar den Vorfall selbst vermieden hätten. Mit dabei sind, passend zum Monatsthema Patchmanagement: „Zeitnahes Patchen exponierter Dienste und Systeme“ – aber auch manipulationsgesicherte Back-ups, Mehrfaktor-Authentisierung, bessere Zugriffskontrolle für Admin-Systeme und bessere Detektionsverfahren.

Bei unseren Penetrationstests, egal ob extern über das Internet oder nach dem Assume-Breach-Gedanken von einem internen Startpunkt aus, identifizieren wir auch regelmäßig Systeme mit bekannten Sicherheitslücken (und fehlenden Patches).

Die gute Nachricht im Jahresvergleich ist, dass wir bei externen Penetrationstests aus der Perspektive eines unauthentifizierten Angreifers aus dem Internet immer weniger kritische Lücken finden. Der Perimeter wird also immer besser geschützt. Das wissen leider auch die Angreifer und versuchen daher, möglichst von innen heraus zu agieren (z. B. VPN-Einwahl per Phishing erbeuten, Malware auf einem Client im internen Netz ausführen lassen). Unsere internen Penetrationstests, die ebenfalls von dieser Position starten, zeigen im Jahresvergleich einen kontinuierlich hohen Kritikalitätsvektor. Tatsächlich endet kaum ein interner Penetrationstest, ohne dass administrative Konten oder gar die gesamte Windows-Domäne übernommen werden konnten.

Noch mehr Auswertungen und Trends finden Sie im HiSolutions-Schwachstellenreport 2023: https://www.hisolutions.com/detail/schwachstellenreport-2023

HiSolutions Research

HiSolutions Discovers New HAFNIUM/ProxyLogon IoCs

by Daniel Jedecke, David Fuhr und Vincent Rockenfeld

During our work on a large number of forensic analyses of HAFNIUM/ProxyLogon cases, we witnessed several cases where the recommended Microsoft tools (TestProxyLogon script and Safety Scanner/MSERT) do not find anything due to missing traces in the HttpProxy log. In those cases evidence can be found in the ECP Activity log as follow:

Indicators of Compromise (IoCs):

./ECP/Activity/ECPActivity_39844_20210303-1.LOG: 2021-03-03T06:43:32.531Z ,EX01, ,S:FE=EX01.FOOBAR.LOCAL;S:URL=https://ex01.foobar.local:444 /ecp/proxyLogon.ecp (https://owa.foobar.com/ecp/y.js);S:Bld=15.1.2106.2;S:ActID=def0-b0e6-2342-5e2c-23a8ff1962a1;Dbl:WLM.TS=0

./ECP/Activity/ECPActivity_39844_20210303-1.LOG: 2021-03-03T06:43:32.963Z, EX01,Request,S:PSA= administrator@foobar.com ;S:FE=EX01.FOOBAR.LOCAL;S:URL=https://ex01.foobar.local:444 /ecp/proxyLogon.ecp (https://owa.foobar.com/ecp/y.js)

With the following (Linux/UNIX) command logs can be searched for relevant entries:

grep -ir “proxylogon“ ./ECP/Activity | sort -n

For the German version of this post, see here.

HiSolutions Research

HiSolutions entdeckt neue HAFNIUM/ProxyLogon IoCs

von Daniel Jedecke, David Fuhr und Vincent Rockenfeld

For English version of this advisory, please see here.

Bei der großen Menge an forensischen Untersuchungen zum Thema HAFNIUM/ProxyLogon, die wir aktuell durchführen, haben wir in mehreren Fällen gesehen, dass die Microsoft-Tools (Skripte bzw. Safety Scanner aka MSERT) nichts finden, da im HttpProxy-Log kein ProxyLogon zu sehen war, während der Zugriff im ECP Activity Log nachvollziehbar war.

Hier die Indikatoren für eine Kompromittierung (IoCs):

./ECP/Activity/ECPActivity_39844_20210303-1.LOG: 2021-03-03T06:43:32.531Z ,EX01, ,S:FE=EX01.FOOBAR.LOCAL;S:URL=https://ex01.foobar.local:444 /ecp/proxyLogon.ecp (https://owa.foobar.com/ecp/y.js);S:Bld=15.1.2106.2;S:ActID=def0-b0e6-2342-5e2c-23a8ff1962a1;Dbl:WLM.TS=0

./ECP/Activity/ECPActivity_39844_20210303-1.LOG: 2021-03-03T06:43:32.963Z, EX01,Request,S:PSA= administrator@foobar.com ;S:FE=EX01.FOOBAR.LOCAL;S:URL=https://ex01.foobar.local:444 /ecp/proxyLogon.ecp (https://owa.foobar.com/ecp/y.js)

Mit folgendem (Linux-/UNIX-)Befehl lassen sich die Protokolle auf die interessanten Einträge hin durchkämmen:

grep -ir “proxylogon“ ./ECP/Activity | sort -n

Um den Austausch von Researchern zu fördern und damit sich andere schneller schützen können, haben wir unsere Erkenntnisse auch auf Twitter geteilt. Siehe z. B. https://twitter.com/Jedi_meister/status/1372287075547017218

Bitte beachten Sie weiterhin unsere stetig aktualisierte HAFNIUM/ProxyLogon Selbsthilfe und unsere Empfehlungen zum Monitoring.