Exchange-Lücken

betroffen? klar, mein Arbeitgeber betreibt einen ganzen Schwung Exchange für unsere Kunden, Patches sind am Freitag abend eingespielt worden.
 
Bei uns quasi alle Kunden mit onpremise Exchange betroffen. Die meisten Angriffe kamen schon am 03.03. patching bei den Kunden dauerte bis Freitag. Da hat man richtig Bock auf den Job. Web Application Firewalls wie von Sophos halfen mangels Mustern auch nix.
 
Kenne auch einige Kunden, welche betroffen waren.

Aber was ist das Fazit darauf für dir Firmen?
Schneller pachen, alles in die Cloud, etc.? 🤔

Laut Proxylogon hat die taiwanesische Firma DEVCORE die Lücken bereits im Dezember gefunden und an Microsoft gemeldet, bevor die Angriffe losgingen.
https://proxylogon.com/
 
Geht das hier auch schon los... War die letzten 3 Arbeitstage mit nix anderem beschäftigt. Nein, unsere Exchanges waren nicht befallen. Aber Patchen dauert halt ne Weile wenns so viele sind und die leider bis auf Unterkante ausgelastet sind. Und dann noch Auswertung der Exchange-Logs, Suchen nach Webshells und Cookies, gut, dafür gibts inzwischen Scripte, dann noch Durchsicht der Firewall und Proxys nach den bekannten Angriffs-IPs und Kontakte zu mega.nz. Aber alles im grünen Bereich. Ich hab allerdings nen Bekannten, da haben die mutmaßlichen Kinesen wohl sich in deren Exchage-Landschaft eingenistet, der hatte kein ruhiges Wochenende, da tanzen jetzt die Leute vom BSI und die Forensiker von einem Dienstleister rum...
 
Ich kann in dem Zusammenhang diesen Beitrag im Heise-Forum empfehlen, wie der dortige Autor und einige Kommentatoren dazu schreiben, diese Info zu Testmöglichkeiten hätte eigentlich Heise selbst bringen sollen: https://www.heise.de/forum/heise-on...herchiert-Hilfe-inside/posting-38517340/show/ Und ich gebe dem dortigen Autor recht, bei borncity erfährt man sowas.

Übrigens, wer heute mit Bluescreens beim Drucken auf Kyocera, Utax, TA, ... Druckern (HP, Canon und andere nicht betroffen) sich über Bluescreens freut, da ist was mit den Windows-Patches von heute nicht in Ordnung. https://www.borncity.com/blog/2021/...-beim-drucken-in-win32kfull-sys-zurckgezogen/ Auf WSUS/ConfigMgr sind die Updates für Win 10 1909-20H4, Server 201x und Win 8.1 noch nicht zurück gezogen, meine privaten Kisten mit 20H2 bekommen diese Updates momentan nicht angeboten.
 
Man kann davon ausgehen, das so ziemlich alle Onpremise Exchange Installation befallen sind. Ich patche mich grad auch durch. Diverse Tools haben Alarm geschlagen. Die Backdoor auf den EXC Servern zu entfernen ist dabei die einfache Sache. Niemand weiß welche Server im Netzwerk jetzt noch vom Angriff betroffen sind. Jedenfalls rolle ich grad Sicherheitshalber eine Antivierenlösung auf alle Windows Server aus.

Partner von unserer Firma waren schlimmer betroffen als ich aktuell:
https://www.dvz.de/rubriken/land/spedition/detail/news/noerpel-erleidet-hacker-angriff.html
 
Kenne auch einige Kunden, welche betroffen waren.

Aber was ist das Fazit darauf für dir Firmen?
Schneller pachen, alles in die Cloud, etc.? 🤔

Laut Proxylogon hat die taiwanesische Firma DEVCORE die Lücken bereits im Dezember gefunden und an Microsoft gemeldet, bevor die Angriffe losgingen.
https://proxylogon.com/

Alles in die Cloud ist nicht zielführend. Produktionsnahe Systeme gehören auf Firmenserver. Da ist mir die Cloud zu anfällig. Exchange und Telekommunikation sind für mich aber zwei Paradebeispiele was in der Cloud gut funktioniert und das Admin Leben einfach macht.
 
Jep sehe ich genauso. Mails / TK-Anlage gerne in die Cloud, macht den Job leichter.

Wir dürfen nun auch die ganzen betroffenen Kunden dem LKA melden.
Sobald es Exchange 2013/2016/2019 war, waren fast alle betroffen. War halt nicht gleich jeder um 02.03. gepatcht. Und selbst dann hat man keine Ganrantie.
 
Übrigens: Seit heute gibt es das Sicherheitspatch auch für Versionen unterhalb von CU18 und CU 19. Das spart immerhin deutlich Zeit, wenn man viele Kundensysteme zu betreuen hat.
 
Übrigens: Seit heute gibt es das Sicherheitspatch auch für Versionen unterhalb von CU18 und CU 19. Das spart immerhin deutlich Zeit, wenn man viele Kundensysteme zu betreuen hat.
Da solltest du dich aber nicht drauf ausruhen. Sobald geht, das gerade aktuelle CU drüberbügeln und den aktuellen Patch hinterher, es sei denn bis dahin gibts schon wieder einen neuen CU.
 
Gibt auch neue CUs:

https://www.borncity.com/blog/2021/...sicherheitsupdate-fr-service-pack-1/#comments
Und ja, die Patches sind enthalten:

The last Exchange 2016 and Exchange 2019 CU’s were released in December of 2020. Are new CU’s releasing in March 2021?​

EDIT: Exchange Server 2016 CU 20 and Exchange Server 2019 CU 9 are now released and those CUs contain the Security Updates mentioned here (along with other fixes). Customers who have installed SUs for older E2016/2019 CUs can simply update to new CUs and will stay protected.
 
Zurück
Oben Unten