Langer Thread zur #Exchange Lücke - in dem ich unter anderem auch betroffene Behörden aus D nennen werde.
Am 02.03.2021 informiert Microsoft in einem Blogpost, dass es einen Zero Day Exploit (Pre-Auth RCE) gibt, welcher aktiv ausgenutzt wird.
microsoft.com/security/blog/…
Am 02.03.2021 informiert Microsoft in einem Blogpost, dass es einen Zero Day Exploit (Pre-Auth RCE) gibt, welcher aktiv ausgenutzt wird.
microsoft.com/security/blog/…
Microsoft stellt Untersuchungsscripts und einen Emergency Patch bereit, welcher sich in der höchsten CU Version anwenden lässt.
Tatsächlich ist die Lücke Microsoft schon länger bekannt (vgl. die aus meiner Sicht beste Timeline dazu: krebsonsecurity.com/2021/03/a-basi…).
Tatsächlich ist die Lücke Microsoft schon länger bekannt (vgl. die aus meiner Sicht beste Timeline dazu: krebsonsecurity.com/2021/03/a-basi…).
Das @BSI_Bund informiert entschieden, stuft die Sicherheitslücke ebenfalls als kritisch ein.
bsi.bund.de/DE/Service-Nav…
Seit über einer Woche sind in ganz Deutschland Incident Response Teams und Forensiker dabei die Vorfälle in Unternehmen und Behörden zu untersuchen.
bsi.bund.de/DE/Service-Nav…
Seit über einer Woche sind in ganz Deutschland Incident Response Teams und Forensiker dabei die Vorfälle in Unternehmen und Behörden zu untersuchen.
Im Rahmen der Untersuchungen fällt immer wieder auf, dass es bereits vor dem 02.03.2021 zu einer Massenausnutzung der Sicherheitslücke gekommen ist (anfragende IP Adressen: 86.105.18.116 & 192.81.208.169).
heise.de/news/Der-Hafni… @etguenni
heise.de/news/Der-Hafni… @etguenni
Insoweit sollten auch Systeme welche vor dem 02.03.2021 öffentlich erreichbar waren verstärkt untersucht werden.
Siehe zentrale Hinweis des @BSI_Bund
bsi.bund.de/SharedDocs/Cyb…
bsi.bund.de/SharedDocs/Dow…
Siehe zentrale Hinweis des @BSI_Bund
bsi.bund.de/SharedDocs/Cyb…
bsi.bund.de/SharedDocs/Dow…
Unter den Betroffenen laut @BSI_Bund & @certbund auch Bundesbehörden (zeit.de/digital/datens…) - bislang gibt es öffentlich keine Auskunft dazu um welche Beörden es sich handelt.
Das macht neugierig - also habe ich mich auf d. Suche begeben & bin vermutlich fündig geworden.
Das macht neugierig - also habe ich mich auf d. Suche begeben & bin vermutlich fündig geworden.
Wenn man nach IP-Adressen und Netzen des Bundes sucht ist die Liste von @bundesedit nützlich, welche eigentlich dafür verwendet wird Änderungen auf Wikipedia zu tracken: github.com/codemonauts/bu…
(Auch wenn diese von Mitte 2020 ist enthält diese die wichtigsten IP-Adressbereiche).
(Auch wenn diese von Mitte 2020 ist enthält diese die wichtigsten IP-Adressbereiche).
Auf @shodanhq lässt sich mittels Favicon Spezifizierung zudem gezielt noch Exchange Servern suchen (Note: das ist das Favicon für den aktuellsten Release und man braucht einen Account, da man Filter nutzt).
shodan.io/search?query=h…
shodan.io/search?query=h…
Fügt man nun die Netze des Bundes (von Bundesedit) ein oder fragt diese mittels API ab, so erhält man vereinzelt Ergebnisse.
Siehe bspw: shodan.io/search?query=h…
Siehe bspw: shodan.io/search?query=h…
Über dieses Vorgehen bin ich bislang auf 4 Systeme gestoßen, darunter "owa.bav.bund.de" - ein System, welches in der Vergangenheit OWA (Online Schnittstelle zum Exchange) bereitgestellt hat, siehe History in Shodan: beta.shodan.io/host/141.17.80…
Dieses System ist der "Bundesanstalt für Verwaltungsdienstleistungen" (de.wikipedia.org/wiki/Bundesans…) zuzuordnen und derzeit offenbar offline (was aus bestätigter Quelle mit dem Vorfall in Verbindung steht).
Darüber hinaus erstaunt, dass Systeme mittels OWA erreichbar sind und dort der Betrieb w. gewohnt weiter erfolgt: mail.bfarm.de/owa/
D. Systeme wurden m. hoher Wahrscheinlichkeit vor dem Patching angegriffen und sollten untersucht werden.
D. Systeme wurden m. hoher Wahrscheinlichkeit vor dem Patching angegriffen und sollten untersucht werden.
Ohnehin ist erstaunlich, dass Behörden & offenbar auch zahlreiche Unternehmen die Weboberfläche von OWA im Internet exponieren - eine sichere Einwahl wäre auch über VPN Zugriffe o. ähnliches möglich.
Es erfolgt häufig keine Härtung, sondern Standardinstallation.
Es erfolgt häufig keine Härtung, sondern Standardinstallation.
Mir sind einige Fälle bekannt bei denen sich die Betroffenen nicht darüber bewusst waren, dass diese Schnittstellen überhaupt im Internet zur Verfügungen standen. Ggfs. muss auch der Hersteller hier nochmal nachbessern (klar zeigen welche Schnittstellen existieren, etc.).
Mittels der History Funktion von Shodan oder alternativen Diensten wie censys.io oder zoomeye.org lassen sich sicherlich weitere betroffene Behörden (auch auf Landesebene) ausfindig machen ...
Meine Vermutung wieso es in D so viele Betroffene Orgs gibt: Das Thema Datenschutz wird sehr hochgehalten - weshalb Clouddienste stark vermieden werden & On-Premise genutzt wird. Dabei kommt jedoch teils das Thema IT-Sicherheit zu kurz ...
In diesem Fall kommt erschwerend hinzu, dass die Sicherheitslücke offenbar massenhaft ausgenutzt wurde - auch bevor/während d. Patch und Erkennungsscripts dazu erreichbar waren. In d. meisten Fällen wurden Backdoors / Webshells platziert. Zudem kann man auf Mail nicht verzichten.
Der Fall zeigt exemplarisch wie verwundbar unsere digitalen Infrastrukturen sein können und wie schnell Incident Response Kapazitäten an ihre Grenzen kommen. Nahezu alle IT-Sec/Forensik Unternehmen sind derzeit extrem stark ausgelasstet. Auch im @BSI_Bund dürfte einiges los sein.
Es bleibt zu hoffen, dass die Angreifer nun nicht direkt die 2 Stufe "zünden" und platzierte Hintertüren in der Breite nutzen.
Es gibt bereits Scans weiterer Gruppen auf die platzierten Backdoors ... um diese für Angriffe zu nutzen.
Infos zu Webshells: pastebin.com/ZL0RzXx3
Es gibt bereits Scans weiterer Gruppen auf die platzierten Backdoors ... um diese für Angriffe zu nutzen.
Infos zu Webshells: pastebin.com/ZL0RzXx3
Weitere Recherechen im Artikel von @MarcelRosenbach & @schmidtwolf - bei dem auch die Arbeit von @internetwache erwähnt wird: spiegel.de/netzwelt/web/m…
• • •
Missing some Tweet in this thread? You can try to
force a refresh
