| Maßnahmenempfehlung nach BayLDA und BSI zu MS Exchange Security & Incident Response | erledigt? | dokumentiert? | Anmerkung |
| Einschätzung das pb. Daten abgeflossen sind | |||
| Sperrung Webzugriff Port 443 | |||
| Zugang zum Mailserver über Port 443 ist zukünftig nur per VPN möglich | |||
| Die von Microsoft verfügbaren Sicherheitspatches wurden eingespielt | |||
| Vollsicherung von System wurde vorgenommen, um Datenveränderungen zu vermeiden und ggf. Beweissicherung sicherzustellen | |||
| Überprüfung auf Webshells mittels Scan-Tools von Microsoft und dem Einsatz von weiteren Security Scanner? | |||
| Einsatz von Detektionsskript von Microsoft (Test-PoxyLogon.ps1) | |||
| Vollständige Systemüberprüfung durch Antiviren-Lösung mit aktuellen Signaturen. | |||
| Einsatz von Microsoft Safety Scanners (MSERT) | |||
| Prüfen der Antivirenlösung (Logs) auf eventuelle Funde in der nahen Vergangenheit. | |||
| Manuelle Prüfung von Logs: Auffälligkeiten in Logs im Zeitraum 2. März bis heuteAuffälligkeiten in Logs von November 2020 bis 1. März 2021 | |||
| Prüfung auf bisher aufgedeckter Webshells mittels Dateinamen: Web.aspx –Help.aspx Document.aspx – errorEE.aspx –errorEEE.aspx – errorEW.aspx – errorFF.aspx – healthcheck.aspx – aspnet_www.aspx – aspnet_client.aspx – xx.aspx – shell.aspx – aspnet_iisstart.aspx – one.aspx | |||
| Prüfung nach Webshells unter folgenden Pfaden: C:\inetpub\wwwroot\aspnet_client\ – C:\inetpub\wwwroot\aspnet_client\system_web\ – %PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\ – C:\Exchange\FrontEnd\HttpProxy\owa\auth | |||
| Analyse Firewall Logs nach ein- und ausgehendem Datenverkehr | |||
| Untersuchung AD im Hinblick auf veränderte, privilegierte Berechtigungen oder Accounts | |||
| Änderung von Benutzerpasswörtern und administrativen Passwörtern im Active Directory | |||
| Bei Befall, Rücksprache mit der Polizei nehmen. | |||
| Restore von nicht kompromittieren Stand sicherstellen bei Neuinstallation-Mail-Server | |||
| Prävention: Geoblocking von IP-Adressen aktiviert? | |||
| Prävention: Schaffung von E-Mail-Security-Awareness Mitarbeiter? | |||
| Prävention: Optimierung des Incident- bzw. Datenpannenprozesses? | |||
| Prävention: Optimierung des Schwachstellen- und Patchmanagements? | |||
| Prävention: Überprüfung Datensicherungs- und Recoverystrategie? | |||
| Prävention: Überprüfung Logging-Konzept? |
Linksammlung:
- https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
- https://www.lda.bayern.de/de/thema_exchange_sicherheitsluecke.html
- https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Vorfaelle/Exchange-Schwachstellen-2021/MSExchange_Schwachstelle_Detektion_Reaktion.pdf;jsessionid=47A19A0E2D36FC2A3A6BD78B183ECF42.internet462?__blob=publicationFile&v=6
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.