Aktuelle Sicherheitslücken

Print Page

Hansmaulwurf 20.04.2014 - 11:17 272022 843 Thread rating

Posts

erlgrey formerly known as der~erl Registered: Aug 2002 Location: Wien Posts: 4449	30.09.2022 - 10:02 ne hash checken ob kompromittiert.
Michi ¯\_(ツ)_/¯ Registered: Aug 2000 Location: nö Posts: 2300	30.09.2022 - 10:25 bzw. die Logs durchsuchen (sofern aktiviert) ob jemand mit "powershell.autodiscover\.json" versucht hat auf den Exchange zu kommen. <Path_IIS_Logs> .. zB. c:\inetpub\logs\LogFiles Code: `Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter ".log" \| Select-String -Pattern "powershell.autodiscover\.json.\@.*200"` Anschließend: im IIS einpflegen
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15864	30.09.2022 - 10:36 mir graust ja wenn ich da einen deutschen exchange seh scnr
erlgrey formerly known as der~erl Registered: Aug 2002 Location: Wien Posts: 4449	30.09.2022 - 11:15 ich würd einen deutschen exchange sofort installieren wenn der zu 100% eingedeutscht wäre, wenn dein OWA nicht mehr OWA heißt sondern AussichtNetzwerkZugriff, bist vermutlich vor 99,9% aller Angriffe allein dadurch "geschützt" dass die meisten vermutlich nur auf english URI gehen.
othan Layer 8 Problem Registered: Nov 2001 Location: Switzerland Posts: 4236	30.09.2022 - 11:19 Danke, Workaround ist eingepflegt
Michi ¯\_(ツ)_/¯ Registered: Aug 2000 Location: nö Posts: 2300	30.09.2022 - 13:23 Zitat aus einem Post von userohnenamen mir graust ja wenn ich da einen deutschen exchange seh scnr .. ist nicht meiner, Bild ist aus dem Internet
sichNix Here to stay Registered: Nov 2014 Location: 1230 Posts: 1084	30.09.2022 - 18:29 Jetzt auch "offiziell" Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server – Microsoft Security Response Center Link: msrc-blog.microsoft.com
questionmarc Here to stay Registered: Jul 2001 Location: - Posts: 5046	30.09.2022 - 22:25 Geiler Freitag, so ca. 20 onprem Kunden haben wir schon auch noch... "Wir müssen jetzt dann mal neu starten, sorry, besser wärs nicht zu warten, CU noch nicht drauf, oje bissl mehr Zeit Einplanen .. sowas brauchst an einem Freitag wo ned nur Monats-, sondern auch Quartalsende is... Wundert mich halt nur nicht mehr.. btw danke für den hint, heute war ich mal schneller als der Kollege mit den heise news
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15864	03.10.2022 - 13:34 kurzes update: die am samstag ausgespielte Mitigation rewrite rule bzw. am freitag händisch angelegte scheint nicht genug zu sein, von daher sollte man diese anpassen bzw. eine neue direkt im root und nicht im autodiscover anlegen: https://gteltsc.vn/blog/warning-new...rver-12715.html sollte dann wohl so aussehen: Bearbeitet von userohnenamen am 03.10.2022, 14:43
Michi ¯\_(ツ)_/¯ Registered: Aug 2000 Location: nö Posts: 2300	03.10.2022 - 14:18 Danke für die Info.
Michi ¯\_(ツ)_/¯ Registered: Aug 2000 Location: nö Posts: 2300	04.10.2022 - 13:17 .. ab in die nächste Runde: Zitat Die URI-Blockierungsregel ist nicht ausreichend, und kann leicht umgangen werden. Exchange Server: Microsofts 0-day-Schutz aushebelbar, neue Einschätzungen (3. Oktober 2022) [English]Seit Ende September 2022 ist eine 0-Day-Schwachstelle (ZDI-CAN-18333) in Microsofts On-Premises Exchange Servern (2013, 2016 und 2019) bekannt. Die Schwachstellen (CVE-2022-41040, CVE-2022-41082) werden bereits in freier Wildbahn ausgenutzt. Microsoft hat zwar reagiert und einen Workaround Link: www.borncity.com
Michi ¯\_(ツ)_/¯ Registered: Aug 2000 Location: nö Posts: 2300	04.10.2022 - 13:27 Zitat Microsoft hat den Beitrag Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server zum 2. Oktober 2022 um folgende Hinweise ergänzt: Added to the Mitigations section: we strongly recommend Exchange Server customers to disable remote PowerShell access for non-admin users in your organization. Guidance on how to do this for single user or multiple users is here. .. was spricht dagegen? Zitat By default, all user accounts have access to remote PowerShell. Warum?! -.- Bearbeitet von Michi am 04.10.2022, 13:29
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6556	04.10.2022 - 13:30 Spricht nichts dagegen, man muss nur etwas aufpassen, dass man sich als Admin nicht selbst aussperrt von der Exchange Powershell, wenn man das PS Remoting benötigt und es für alle Benutzer abdreht.
Michi ¯\_(ツ)_/¯ Registered: Aug 2000 Location: nö Posts: 2300	04.10.2022 - 14:01 Zitat aus einem Post von mr.nice. Spricht nichts dagegen, man muss nur etwas aufpassen, dass man sich als Admin nicht selbst aussperrt von der Exchange Powershell, wenn man das PS Remoting benötigt und es für alle Benutzer abdreht. ... sobald ein neuer User angelegt wird, bekommt dieser jedoch wieder "powershell-access" ..
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19789	04.10.2022 - 15:33 Lassts die normalen User in Ruhe mit PowerShell arbeiten herst. Soll MS halt ordentliche Permission Sets einführen wenn irgendwelche Zugänge gefährdet sind. Bearbeitet von daisho am 04.10.2022, 15:35