HAFNIUM Lücke am Exchange stopfen und prüfen ob man gehackt wurde!

Vorgehensweise

  1. Firewall Logs vom 03. März 2021 kontrollieren!
    -> Angreifende IPs in Deutschland: 86.105.18.116 und 182.18.152.105
    -> Hier wird versucht ein JavaScript "y.js" über das OWA/ActiveSync Verzeichnis "/ecp/y.js" in den Exchange zu bekommen und anschließend auszuführen


     
  2. Sich das passende Exchange Sicherheitsupdate zur installierten CCU herunterladen
    -> für Exchange Server 2010 (RU 31 for Service Pack 3)
    -> für Exchange Server 2013 (CU 23)
    -> für Exchange Server 2016 (CU 19, CU 18)
    -> für Exchange Server 2019 (CU 8, CU 7)
    Sollte der Exchange noch nicht einer der obenstehenden Versionen haben, bitte schnellstens das neuste CCU zur Exchange-Version installieren.
    Keine Angst vor den großen CC-Updates haben! Sicherung machen aller im Netz befindlichen Domänen-Controller und Exchange Server und dann installieren!
    Man kann ohne Probleme mehrere Exchange-Versionen überspringen, da es immer ein Inplace-Upgrade ist.
    Die Domänen-Controller müssen dazugesichert werden, da immer ActiveDirectory Schema-Updates installiert werden!
    In sehr seltenen Fällen kann was schieflaufen, dann sollten die Exchange-Server und die Domain-Controller zusammen zurückgesichert werden.
     
  3. Installation des Exchange-Updates, ganz wichtig, über eine als Administrator geöffnete CMD!
    -> Das Update-Pack in "C:\temp\" kopieren
    -> CMD als Admin öffnen
    #> cd \
    #> cd c:\temp​
    #> Exchange-Update-123.msp
    ENTER
    -> Nach dem Update prüfen ob Mails raus- und reinkommen!
    -> Ein Neustart kann nicht schaden!

  4. Das PowerShell-Skript "Test-ProxyLogon.ps1" herunterladen
    Dieses Skript sucht den Exchange nach Rückständen, die bei einem erfolgreichen Angriff, hinterlassen werden und schreibt diese in eine Logdatei. Das ersetzt die mühsamen manuellen Prüfungen, der evtl. kompromittierten Verzeichnisse.
    Es werden die Exchange-Logs, Exchange-HttpProxy-Logs uns Windows-Application-Event-Logs überprüft
    -> Bei Microsoft GitHub...
  5. PowerShell-Skript "Test-ProxyLogon.ps1" anwenden
    Vorbereitende Arbeiten:
    -> Das Skript "Test-ProxyLogon.ps1" herunterladen und in das Verzeichnis "C:\temp\" legen
    -> "Exchange Managment Shell", auch kurz EMS als Administrator öffnen
    -> Bei kleinen Exchange Umgebungen mit einem Exchange-Server reicht folgender Befehl
    #> cd \
    #> cd c:\temp
    #> .\Test-ProxyLogon.ps1​
    ENTER

    -> Bei größeren Umgebungen mit mehreren Exchange-Server, bitte folgenden Befehl in der EMS eingeben

    #> cd \
    #> cd c:\temp
    #> Get-ExchangeServer | .\Test-ProxyLogon.ps1
    ENTER

    -> Die exportierten Logdateien werden unter "C:\temp\Test-ProxyLogonLogs\" gespeichert
     

  6. Auswerten der Daten
    -> Datei "C:\temp\Test-ProxyLogonLogs\exchangeXYZ-CVE-2021-26855.csv"
    Sollten nur wie hier, ganz hinten rechts im Log, nur die "autodiscover.xml?#","200"" zu finden sein, dann ist kein weiterer Schaden zu erwarten!
    Sind weitere Protokollierungen anderer Art im Log aufgelistet, sollte man einen Spezialisten für erfolgte Hacks konsultieren!

    -> In der Datei "C:\temp\Test-ProxyLogonLogs\exchangeXYZ-other.csv" werden auffällige Programme aufgeführt, die evtl. nachgeladen wurden, falls der Hack erfolgreich war!
    Hier können aber auch ältere falschpositive Dateien aufgeführt sein, wichtig sind aber die mit einem aktuellen Datum um den 03.März.

  7. Exchange On-premisses Mitigation Tool (EOMT) anwenden

    Das EOMT ist ein kleines Tool, wie das Windows MRT, wo den Exchange nach bösartigen Dingen durchsucht und eine Log-Datei schreibt
    -> Bei Microsoft Github das EOMT Tool herunterladen... und in das "C:\temp\" Verzeichnis legen 
    -> "Exchange Managment Shell" als Administrator öffnen
    #> cd \
    #> cd c:\temp
    #> .\EOMT.ps1
    ENTER​

    -> Die erzeugten Scan Log-Dateien des EOMT werden auf dem Exchange-Server unter "C:\Windows\debug\msert.log" gespeichert:

    So sieht ein Scan ohne Auffälligkeiten aus!

    -------------------------------------------------------------------------------------
    Microsoft Safety Scanner v1.333, (build 1.333.1005.0)
    Started On Mon Mar 22 11:41:11 2021
    
    Engine: 1.1.17900.7
    Signatures: 1.333.1005.0
    MpGear: 1.1.16330.1
    Run Mode: Scan Run in Quiet Mode
    
    Results Summary:
    ----------------
    No infection found.
    Successfully Submitted MAPS Report
    Successfully Submitted Heartbeat Report
    Microsoft Safety Scanner Finished On Mon Mar 22 11:45:59 2021
    
    Return code: 0 (0x0)
    -------------------------------------------------------------------------------------

     

  8. Erweiterter EOMT scan, bei Funden im zuvor durchgeführten EOMT schnelldurchlauf

    -> "Exchange Managment Shell" als Administrator öffnen
    #> cd \
    #> cd c:\temp
    #> .\EOMT.ps1 -RunFullScan -DoNotRunMitigation
    ENTER​

    -> Die erzeugten Scan Log-Dateien des EOMT werden auf dem Exchange-Server unter "C:\Windows\debug\msert.log" gespeichert.


    Alle Angaben ohne Gewähr. Die Anwendung erfolgt auf eigene Gefahr
    ** Viel Glück **



    Auch lesenswert zum Hack:
    https://github.com/microsoft/CSS-Exchange/tree/main/Security#exchange-on-premises-mitigation-tool-eomt
    https://blog.rapid7.com/2021/03/03/rapid7s-insightidr-enables-detection-and-response-to-microsoft-exchange-0-day/