HAFNIUM/ProxyLogon bei Microsoft Exchange: Hilfe zur Selbsthilfe

UPDATE vom 24.03.2021: Empfehlung zur Dauer der Überwachung der Systeme nach Kompromittierung durch ProxyLogon ergänzt (12 Monate).

English version is here.

Feedback ist gerne erwünscht. Aufgrund der Kritikalität der Schwachstelle haben wir uns entschlossen, alle Informationen hierzu als TLP-WHITE zu veröffentlichen. Das Dokument ist zudem lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz.

Für jeweils aktuelle Infos abonnieren Sie auch gerne unseren monatlichen Cybersecurity Digest.

UPDATE vom 17.03.2021: Wir haben die HAFNIUM-Selbsthilfe auf den neusten Stand gebracht und Tool- und Maßnahmenempfehlungen geschärft. Angesichts der zu erwartenden Angriffe über abgeflossene E-Mails und Kontakte haben wir auch unsere Empfehlungen zur Sensibilisierung vor Phishing-Angriffen konkretisiert.

UPDATE vom 14.03.2021: Wir haben am Wochenende parallel zur Incident Response weiteren Research betrieben und uns mit vielen Leuten ausgetauscht. Wir haben erste Erkenntnisse, dass die Angreifer Dateiberechtigungen verändern, um das Installieren von Patchen zu verhindern. Zudem stellen wir vermehrt Ransomware-Angriffe fest.

Auch haben wir ein Update bezüglich des Microsoft Support Emergency Response Tools (MSERT) eingearbeitet. Obwohl MSERT für diesen Anlass angemessen ist, raten wir aktuell zur Vorsicht bei der Nutzung. Das Tool löscht u. U. Shells und kann die vollständige Bereinigung nicht sicherstellen und die Forensik erschweren.

Zudem haben wir nun auch ein Dokument veröffentlich, um mittels Thor Lite die Systeme zu untersuchen und eine grundlegende Überprüfung des Active Directory durchzuführen.


UPDATE vom 12.03.2021 Teil 2: Wir haben die Maßnahmen (auch nach einer möglichen Kompromittierung) umfangreich angepasst. Sobald wir mehr Informationen über die aktuell verteile Ransomware haben werden diese noch nachsteuern. Das BSI hat seine Warnmeldung heute ebenfalls aktualisiert.


UPDATE vom 12.03.2021: Wir haben das Dokument erneut aktualisiert. Feedback gerne wieder an uns. Zudem haben wir einen Verweis auf den Datenschutz eingebaut sowie die Maßnahmen konkretisiert.


UPDATE vom 10.03.2021: Vielen Dank für das viele Feedback und die Anregungen. Wir haben das Dokument überarbeitet und die neusten Empfehlungen des BSI, Erkenntnisse aus der Forensik sowie einige Vereinfachungen im Bereich Monitoring eingearbeitet. Feedback weiterhin gerne an uns oder per Twitter an (@Jedi_meister).


Um unseren Kunden einen ersten Leitfaden zum Umgang mit der HAFNIUM/ProxyLogon-Thematik an die Hand zu geben, haben wir einen Leitfaden „Hilfe zur Selbsthilfe“ herausgebracht. Dieser kombiniert die Empfehlungen des BSI, unsere fachliche Expertise sowie Informationen des Herstellers Microsoft.

Der Leitfaden soll als erster Indikator dienen und eine einfach zu befolgende Checkliste darstellen. Wir aktualisieren das Dokument laufend mit den neusten Erkenntnissen aus unseren Fällen.

Aufgrund der Kritikalität der Schwachstelle verteilen wir den Leitfaden kostenfrei. Sofern Sie Microsoft Exchange nutzen, prüfen Sie bitte, ob Sie bereits alle Schritte durchgeführt haben. Beachten Sie, dass Microsoft am 09.03.2021, dem regulären Patch Tuesday, weitere kritische Lücken in seinen Produkten geschlossen hat!

Weitere Informationen unter:

HAFNIUM/ProxyLogon: Akute Angriffswelle auf Microsoft Exchange

Seit in der Nacht zum Mittwoch, 3. März 2021, das Microsoft Threat Intelligence Center (MSTIC) über eine akute Angriffswelle auf Microsoft Exchange Server informiert hat, haben IT-Organisationen weltweit alle Hände voll zu tun, die ausgenutzten Schwachstellen (inkl. ProxyLogon) zu schließen, eine mögliche Kompromittierung abzuchecken und ggf. Aufräumarbeiten durchzuführen.

Auch wenn Microsoft umgehend Out-of-band Updates veröffentlich hat, wurde schnell klar, dass die vier beschriebenen Schwachstellen in Kombination bereits für zielgerichtete Angriffe verwendet wurden und vielerorts die Möglichkeit boten und bieten, Daten abzugreifen oder weitere Schadsoftware zu installieren.

https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/

Zu den Sofortmaßnahmen gehört neben dem umgehenden Einspielen der Patches die sofortige Deaktivierung der über HTTPS erreichbaren Dienste (OWA, ECP, UM, VDir, OAB). Eine erste Überprüfung auf Kompromittierung kann mittels eines von Microsoft bereitgestellten Scriptes oder durch Scannen des Microsoft Exchange Server mit dem Microsoft Support Emergency Response Tool (MSERT) erfolgen. Um die Möglichkeit der Angriffsdetektion zu verbessern, sollte außerdem die Protokollierung der Exchange-Server und des Active Directory ausgeweitet werden.

Im Falle der Detektion einer Kompromittierung (z. B. einer Webshell) müssen das System und je nach Berechtigungen ggf. weitere Systeme wie etwa das Active Directory näher untersucht werden. Hier muss darauf geachtet werden, ob es zum besagten Zeitraum zu Kontenerstellung, vermehrten Zugriffen oder ähnlichen Auffälligkeiten gekommen ist.

Unsere Handlungsempfehlungen

Weitere Ressourcen