Dringend: Microsoft Exchange Vulnerability
IHR HANDELN IST ERFORDERLICH !
Hallo zusammen,
Bei einem Sicherheitsvorfall zählt jede Sekunde, deshalb möchten wir Sie heute auch so früh wie möglich warnen.
Cyberattacken lassen sich nicht verhindern. Deshalb sind die Erkennung, Analyse und Reaktion sehr wichtig.

Am 02.03.2021 hat die Sicherheitsfirma Volexity einen Report über mehrere 0-day Sicherheitslücken in Microsoft Exchange Server 2013 – 2019 veröffentlicht. Diese wurden und werden aktiv ausgenutzt.

Die Auswirkungen sind unter Umständen die Exfiltration von Emails und anderen Daten bis zum Verlust der Domäne. Hierfür installieren die Angreifer eine Web-Shell, die ebenfalls den weiteren Zugriff auf betroffene Netzwerke ermöglicht.

Dieser Angriff ist sehr ernst zu nehmen, denn
• es sind Angriffe von chinesischen, staatlich gesponserten Gruppen zu verzeichnen
• es handelt sich um 0-day Schwachstellen und nahezu jeder öffentliche erreichbare Microsoft Exchange ist angreifbar

Bitte sperren Sie sofort den Zugang zu OWA und Microsoft Exchange über öffentliche IP-Adressen über eine Firewall! Wir wissen wie schwer das ist, vor allem in Corona-Homeoffice-Zeiten, aber die Warnungen sind eindeutig und ernst.

Überblick
Betroffen:
• Microsoft Exchange Server 2013 – 2019
Mitigation
• Installation der Microsoft-Security-Updates LINK

Wichtig: Die Installation der Microsoft Security Updates führt nicht zur Bereinigung, falls eine Kompromittierung stattgefunden hat.

Sofort Maßnahmen

1. Den Exchange per HTTPS aus dem Internet nehmen und keine Kommunikation nach Extern zulassen-> SOFORT

2. Den Patch von Microsoft installierten -> SOFORT

3. IOCs sperren -> SOFORT

4. Püfen, ob betroffen -> Nachgelagert

5. Nach negativer Prüfung wieder Online nehmen.

Falls Sie einen Befall feststellen. Müssen Sie umgehend handeln und feststellen, ob weitere Systeme betroffen sind. Melden Sie sich zu Abstimmung bei unserem Support.

IOC (Indicator of Compromise):

Da die Angriffe noch andauern und noch ausgewertet werden, müssen die IOC als nicht vollständig erachtet werden.

Lokal:

.aspx-Dateien (8 Zeichen) unter C:\inetpub\wwwroot\aspnet_client\system_web

\\FrontEnd\HttpProxy\ecp\auth\ (jegliche Datei außer TimeoutLogoff.aspx)

\\FrontEnd\HttpProxy\owa\auth\ (jegliche Datei die nicht zur Standardinstallation gehört)

\\FrontEnd\HttpProxy\owa\auth\Current\

\\FrontEnd\HttpProxy\owa\auth\\

Netzwerk:

Angreifer-Ips:

103.77.192.219
104.140.114.110
104.250.191.110
108.61.246.56
149.28.14.163
157.230.221.198
167.99.168.251
185.250.151.72
192.81.208.169
203.160.69.66
211.56.98.146
5.254.43.18
80.92.205.81

ECP-Server-Log:

S:CMD=Set-OabVirtualDirectory.ExternalUrl=‘

Ist einer dieser Indikatoren bei Ihnen im Netzwerk zu finden, ist vermutlich bereits ein Angriff erfolgt.

So erreichen Sie uns
• Per Email: [email protected]
• per Telefon +49 7665 932122 22