Secutec: Request your Microsoft Exchange Vulnerability check today!

Onderwerpen die nergens anders thuis horen en toch eerder technisch van aard zijn? Post ze hier!
Plaats reactie
Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2966
Lid geworden op: 14 nov 2008, 08:22
Twitter: KrSi78
Locatie: Brugge
Uitgedeelde bedankjes: 286 keer
Bedankt: 202 keer
Recent bedankt: 6 keer
Contacteer:

Iemand ervaringen en/of prijzen van Secutec voor die Exchange Vulnerability Check, zie https://secutec.eu/request-your-microso ... eck-today/? Ik contacteer liever niet meteen rechtstreeks om geen opdringerige verkopers achter mij aan te krijgen...
(Open Source) Alternatieven zijn ook welkom. Voor zover ik kan achterhalen heb ik mijn Exchange volledig gepatcht, maar een extra check lijkt mij nooit kwaad te kunnen (maar niet tegen elke prijs).
Computer(k)nul
dragonflo
Elite Poster
Elite Poster
Berichten: 890
Lid geworden op: 30 dec 2009, 23:49
Uitgedeelde bedankjes: 11 keer
Bedankt: 28 keer

Microsoft heeft op github een scriptje gezet waarmee je jouw logs kan checken. Microsoft heeft ook 1 van hun security tools geüpdatet zodat deze scant voor webshells en verdachte zaken.

We zijn wel 12 dagen verder sinds de patch uitkwam. Als je vandaag nog maar gepatched hebt, is de kans zeer groot dat je al lang (meerdere keren) gehackt bent.

De kwetsbaarheid heeft enorm veel weg van een backdoor die enorm makkelijk te gebruiken is.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8274
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 527 keer
Recent bedankt: 13 keer

Ik zou idd ook voor een soort van open-source zelfcheck gaan ipv zo'n firma in te schakelen voor wat het uiteindelijk maar inhoudt, TENZIJ jij of de baas een paraplu willen waarmee de verantwoordelijkheid bij een Exchange-hack afgeschoven kan worden op een derde partij en het eigen postje veilig gesteld blijft, dan mag je in het budget graaien. Dat is uiteindelijk ook de echte value proposition van zo'n external pentesting gedoe, het is een specifieke vorm van externe consultancy aka "verantwoordelijkheid afschuiven (als het misloopt) as a service". Welke firma die paar minuten werk doet is dan eigenlijk niet relevant, Secutec klinkt legit genoeg om op te kunnen afschuiven.

Zoals ik al in een andere topic zei: ik ben maar wat blij dat die opdringerige Microsoft salespersonen hier nooit door de deur geraakt zijn, ondanks de vele en grote cadeautjes die ze aanboden om toch maar die Exchange en wat nog te kopen. Niet alleen voor deze hack, als ik zie wat een miserie hun producten allemaal meebrengen, en eenmaal ze binnen geraakt zijn zit je echt vast aan hen. Ik ga niet ontkennen dat gelijksoortige zaken ook met andere vendors voorvallen - daar heb ik wel ervaring mee - maar Microsoft is toch nog een categorie apart.
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Wij hebben een 3 tal klanten gehad waarvan ze effectief webshells gevonden waren en daarvan 1 waar het actief misbruikt werd.

Als je logs nog zolang meegaan is dat script van Microsoft wel handig, maar anders is het een kwestie van een aantal folders na te kijken op bestanden die daar niet moeten staan. Kijk vooral al eens in je c:\windows\temp of daar geen .tmp folders en .bat files staan.
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
DarkV
Elite Poster
Elite Poster
Berichten: 3724
Lid geworden op: 17 apr 2019, 11:47
Uitgedeelde bedankjes: 111 keer
Bedankt: 154 keer
Recent bedankt: 3 keer

Ik heb die van mij de eerste of tweede dag reeds gepatched en ook meteen gechecked... gelukkig niets gevonden.

Alle info kan je trouwens vinden op https://github.com/microsoft/CSS-Exchan ... n/Security

Huh... ik krijg een 404 op de EOMT :?
Laatst gewijzigd door DarkV 15 maa 2021, 20:38, in totaal 1 gewijzigd.
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

De scripts van MS zijn enkel voldoende om de vulnerability zelf te mitigeren, maar halen niets uit indien je server reeds compromised was. (lek was al bekend sinds eind 2020 !!)

https://us-cert.cisa.gov/ncas/alerts/aa21-062a

De link hierboven geeft wat meer info over wat je moet nakijken om te zien of je niet reeds compromised bent.
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2966
Lid geworden op: 14 nov 2008, 08:22
Twitter: KrSi78
Locatie: Brugge
Uitgedeelde bedankjes: 286 keer
Bedankt: 202 keer
Recent bedankt: 6 keer
Contacteer:

dragonflo schreef:We zijn wel 12 dagen verder sinds de patch uitkwam. Als je vandaag nog maar gepatched hebt, is de kans zeer groot dat je al lang (meerdere keren) gehackt bent.
Ik heb op 4 maart al de patchronde doorgevoerd en ook de MS-scripts uitgevoerd. Het lijkt er op dat ik nog op tijd was, maar een second opinion zou goed zijn voor mijn gemoedsrust. De mitigatiescripts heb ik wel moeten aanpassen omdat deze de geïnstalleerde versie van IIS rewrite niet goed detecteerden.
Computer(k)nul
CCatalyst
Elite Poster
Elite Poster
Berichten: 8274
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 527 keer
Recent bedankt: 13 keer

Sinna schreef: Ik heb op 4 maart al de patchronde doorgevoerd en ook de MS-scripts uitgevoerd. Het lijkt er op dat ik nog op tijd was, maar een second opinion zou goed zijn voor mijn gemoedsrust.
Wat bedoel je met gemoedsrust?

Als je met gemoedsrust bedoelt dat alles zeker veilig is nu, kan je de beschrijving van Microsoft nog eens volledig nalezen, de scan nog eens uitvoeren, en manueel checken op alle IOC's. Als alles ok is, kan je gerust zijn, tenzij je het gevoel hebt dat je niet weet waar je mee bezig bent en/of je dit complexe beest niet kan temmen, een gevoel dat we allemaal wel al eens gehad hebben, maar dan is het tijd om de broodnodige opleidingen aan te vragen. Een echte second opinion van iemand die er verstand van heeft is niet gratis maar in principe dus niet nodig, is er geen collega die nog eens onafhankelijk van jou een kijkje kan nemen?

Als je met gemoedsrust bedoelt dat je niet de verantwoordelijke wil zijn als je ondanks alles driedubbel te checken toch nog iets gemist zou hebben dat misschien zelfs niet aan jou te wijten is, schakel dan Secutec maar in. Zij zullen met plezier nog eens doen wat jij al gedaan hebt en dan een factuur van vijf cijfers voor de komma sturen om verantwoordelijk te zijn in jouw plaats zodat je je job hier niet zal door verliezen. De kans is niet klein dat de persoon die de test doet net van de school komt en niets van Exchange kent, maar wel het Secutec-scriptje kan starten dat al het werk doet. Maar daar gaat het niet over, het is de transfer van verantwoordelijkheid waar de poen voor schuift.
dragonflo
Elite Poster
Elite Poster
Berichten: 890
Lid geworden op: 30 dec 2009, 23:49
Uitgedeelde bedankjes: 11 keer
Bedankt: 28 keer

Sinna schreef: Ik heb op 4 maart al de patchronde doorgevoerd en ook de MS-scripts uitgevoerd. Het lijkt er op dat ik nog op tijd was, maar een second opinion zou goed zijn voor mijn gemoedsrust. De mitigatiescripts heb ik wel moeten aanpassen omdat deze de geïnstalleerde versie van IIS rewrite niet goed detecteerden.
Als je jouw exchange hebt gepatched moet je dat mitigatiescript toch niet meer uitvoeren?
yaris
Premium Member
Premium Member
Berichten: 564
Lid geworden op: 14 mei 2004, 00:16
Uitgedeelde bedankjes: 16 keer
Bedankt: 34 keer
Recent bedankt: 1 keer

Er zijn een stuk of 10 criminele organisaties actief die duizenden bedrijven al hebben geinfiltreerd. Niet enkel op de exchange servers maar ondertussen al verder binnen het netwerk.
Dit gaat een ramp worden. Wel goed voor degene die bitcoin hebben , die prijs gaat hierdoor zwaar zwaar naar omhoog gaan.
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Wij hebben de meeste servers op de dag zelf gepatched en sommigen op de 4de. Bij die 3 compromised klanten waren de Shells geüpload in februari en bij 1 op 03/03 ... dus ja ...

Moet wel zeggen, het was nu de eerste keer dat ik eens punten moest geven aan een Citrix Netscaler ADC. Omdat zij de owa pages offloaden vanuit een eigen interne template, was je niet vulnerable voor de hafnium hack.
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
remus
Pro Member
Pro Member
Berichten: 309
Lid geworden op: 28 dec 2009, 15:05
Uitgedeelde bedankjes: 26 keer
Bedankt: 15 keer

Microsoft Support Emergency Response Tool (MSERT) kan je ook gebruiken:
https://msrc-blog.microsoft.com/2021/03 ... arch-2021/
download hier: https://docs.microsoft.com/en-us/window ... r-download
Gebruikersavatar
Goztow
Administrator
Administrator
Berichten: 14441
Lid geworden op: 14 nov 2006, 16:21
Locatie: Brussel
Uitgedeelde bedankjes: 1600 keer
Bedankt: 1194 keer
Recent bedankt: 3 keer

Is office 365 wel secure?
Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2966
Lid geworden op: 14 nov 2008, 08:22
Twitter: KrSi78
Locatie: Brugge
Uitgedeelde bedankjes: 286 keer
Bedankt: 202 keer
Recent bedankt: 6 keer
Contacteer:

Bedankt voor de reacties tot nu toe. Ik pik op een aantal in:
CCatalyst schreef:Als je met gemoedsrust bedoelt dat alles zeker veilig is nu, kan je de beschrijving van Microsoft nog eens volledig nalezen, de scan nog eens uitvoeren, en manueel checken op alle IOC's. Als alles ok is, kan je gerust zijn, tenzij je het gevoel hebt dat je niet weet waar je mee bezig bent en/of je dit complexe beest niet kan temmen, een gevoel dat we allemaal wel al eens gehad hebben, maar dan is het tijd om de broodnodige opleidingen aan te vragen. Een echte second opinion van iemand die er verstand van heeft is niet gratis maar in principe dus niet nodig, is er geen collega die nog eens onafhankelijk van jou een kijkje kan nemen?
Ik ben helaas de enige op het IT-departement. Mijn werkgever beseft dat dat een kwetsbaarheid op zich is, maar er is (op dit moment) geen ruimte voor een tweede persoon. Ik ben aan het kijken om een derde partij in nood te kunnen bijschakelen maar zover ben ik nog niet. Ik weet waar ik mee bezig ben (en ben op dat punt misschien soms wat té voorzichtig) maar vrees vroeg of laat toch eens critical information te missen waardoor ik een noodlottige steek laat vallen.
CCatalyst schreef:Als je met gemoedsrust bedoelt dat je niet de verantwoordelijke wil zijn als je ondanks alles driedubbel te checken toch nog iets gemist zou hebben dat misschien zelfs niet aan jou te wijten is, schakel dan Secutec maar in. Zij zullen met plezier nog eens doen wat jij al gedaan hebt en dan een factuur van vijf cijfers voor de komma sturen om verantwoordelijk te zijn in jouw plaats zodat je je job hier niet zal door verliezen. De kans is niet klein dat de persoon die de test doet net van de school komt en niets van Exchange kent, maar wel het Secutec-scriptje kan starten dat al het werk doet. Maar daar gaat het niet over, het is de transfer van verantwoordelijkheid waar de poen voor schuift.
Gemoedsrust voor mij is vooral extra bevestiging dat ik de nodige stappen gezet heb om het probleem te mitigeren. Ik kan daar echter geen factuur van vijf cijfers voor de komma voor verantwoorden, temeer omdat de kans inderdaad reëel is dat die Secutec'er een scriptje laat lopen. Vandaar dat ik in mijn beginpost ook vroeg naar alternatieven.
dragonflo schreef:Als je jouw exchange hebt gepatched moet je dat mitigatiescript toch niet meer uitvoeren?
Dat lijkt mij ook, maar uit voorzorg heb ik ze toch maar laten lopen (na aanpassingen wat detectie van de IIS URL Rewrite Module 2 betreft).
remus schreef:Microsoft Support Emergency Response Tool (MSERT) kan je ook gebruiken.
Die heb ik ook al laten lopen met verschillende custom scans zoals in verschillende artikels aangeraden zonder enige detectie.
DarkV schreef:Ik heb die van mij de eerste of tweede dag reeds gepatched en ook meteen gechecked... gelukkig niets gevonden.

Alle info kan je trouwens vinden op https://github.com/microsoft/CSS-Exchan ... n/Security

Huh... ik krijg een 404 op de EOMT :?
Die EOMT was mij nog niet bekend, maar is wel terug te downloaden.
Goztow schreef:Is office 365 wel secure?
In principe wel, tenzij je in een hybride omgeving (combi Office 365 met on-premise) draait.
Computer(k)nul
DarkV
Elite Poster
Elite Poster
Berichten: 3724
Lid geworden op: 17 apr 2019, 11:47
Uitgedeelde bedankjes: 111 keer
Bedankt: 154 keer
Recent bedankt: 3 keer

Sinna schreef:Ik ben helaas de enige op het IT-departement.
Is het dan geen tijd om eens te denken aan Office 365 ?
Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2966
Lid geworden op: 14 nov 2008, 08:22
Twitter: KrSi78
Locatie: Brugge
Uitgedeelde bedankjes: 286 keer
Bedankt: 202 keer
Recent bedankt: 6 keer
Contacteer:

Inderdaad, en daar zijn concrete plannen voor al is het een huzarenstukje om dat ingepland te krijgen.
Computer(k)nul
Plaats reactie

Terug naar “Allerlei”