blog.goelles.it
Skripte das Versuche erkennt ob der Exchange Server kompromittiert wurde
Das Microsoft Exchange Server Team hat ein Skript veröffentlicht, mit dem es IT-Administratoren möglich ist zu prüfen, ob der oder die eigenen Server durch die Anfang März bekannt gewordene Zero-Day-Bugs bereits angegriffen wurden.
Das Microsoft Team hat auf GitHub ein Skript veröffentlicht, mit dem der Sicherheitsstatus von Exchange-Servern überprüft werden kann.
https://github.com/microsoft/CSS-Exchange/tree/main/Security
Besonders interessant finde ich das Script mit dem Name: Test-ProxyLogon.ps1 – dieses durchsucht relevante Log-Dateien des Exchange Servers nach Auffälligkeiten und gibt am Ende eine Übersicht, ob die Lücke in der Vergangenheit bereit ausgenutzt wurde.
Und so wird das Script richtig verwendet:
- Test-ProxyLogon.ps1 auf den eigenen Exchange Server laden – z.B. in das Verzeichnis C:\TEST
- hier legt man am besten gleich einen zweiten Unterorder mit dem Namen logs an
- nun öffnet man die Echange Management Shell als Admin User
- der Aufruf des Scrites erfolgt mit dem Befehl:
Get-ExchangeServer | c:\test\Test-ProxyLogon.ps1 -OutPath c:\tests\logs
Während des Durchsuchens der Log-Dateien nach Anzeichen einen Angriffes werden die Ergebnisse in drei Dateien im Unterordner c:\test\logs abgelegt. Das Ergebnis sieht dann z.B. so aus:
#TYPE Deserialized.Selected.System.Management.Automation.PSCustomObject
"DateTime","RequestId","ClientIpAddress","UrlHost","UrlStem","RoutingHint","UserAgent","AnchorMailbox","HttpStatus"
"2021-04-12T17:41:16.658Z","xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx","86.105.18.116","212.121.146.11","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@server:444/autodiscover/autodiscover.xml?#","200"
"2021-04-12T19:34:11.640Z","xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx","182.18.152.105","212.121.146.11","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@server:444/autodiscover/autodiscover.xml?#","200"
"2021-04-12T19:34:35.255Z","xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx","182.18.152.105","212.121.146.11","/ecp/y.js","X-BEResource-Cookie","python-requests/2.25.1","ServerInfo~a]@server:444/mapi/emsmdb/?#","200"
"2021-04-12T19:35:18.125Z","xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx","182.18.152.105","212.121.146.11","/ecp/y.js","X-BEResource-Cookie","python-requests/2.25.1","ServerInfo~a]@server:444/ecp/proxyLogon.ecp?#","241"
"2021-04-12T19:37:41.276Z","xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx","182.18.152.105","212.121.146.11","/ecp/y.js","X-BEResource-Cookie","python-requests/2.25.1","ServerInfo~a]@server:444/ecp/DDI/DDIService.svc/GetObject?msExchEcpCanary=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.&schema=OABVirtualDirectory#","200"
Zusätzlich gibt es den Microsoft Safety Scanner der ebenfalls auf einem Exchange Server nach Rückständen eines möglichen Angriffes der zero-days bugs Lücke suchen kann.