Iemand ervaringen en/of prijzen van Secutec voor die Exchange Vulnerability Check, zie https://secutec.eu/request-your-microso ... eck-today/? Ik contacteer liever niet meteen rechtstreeks om geen opdringerige verkopers achter mij aan te krijgen...
(Open Source) Alternatieven zijn ook welkom. Voor zover ik kan achterhalen heb ik mijn Exchange volledig gepatcht, maar een extra check lijkt mij nooit kwaad te kunnen (maar niet tegen elke prijs).
Secutec: Request your Microsoft Exchange Vulnerability check today!
-
- Premium Member
- Berichten: 734
- Lid geworden op: 30 dec 2009, 23:49
- Uitgedeelde bedankjes: 11 keer
- Bedankt: 22 keer
Microsoft heeft op github een scriptje gezet waarmee je jouw logs kan checken. Microsoft heeft ook 1 van hun security tools geüpdatet zodat deze scant voor webshells en verdachte zaken.
We zijn wel 12 dagen verder sinds de patch uitkwam. Als je vandaag nog maar gepatched hebt, is de kans zeer groot dat je al lang (meerdere keren) gehackt bent.
De kwetsbaarheid heeft enorm veel weg van een backdoor die enorm makkelijk te gebruiken is.
We zijn wel 12 dagen verder sinds de patch uitkwam. Als je vandaag nog maar gepatched hebt, is de kans zeer groot dat je al lang (meerdere keren) gehackt bent.
De kwetsbaarheid heeft enorm veel weg van een backdoor die enorm makkelijk te gebruiken is.
-
- Elite Poster
- Berichten: 6659
- Lid geworden op: 20 jun 2016, 18:36
- Uitgedeelde bedankjes: 18 keer
- Bedankt: 386 keer
Ik zou idd ook voor een soort van open-source zelfcheck gaan ipv zo'n firma in te schakelen voor wat het uiteindelijk maar inhoudt, TENZIJ jij of de baas een paraplu willen waarmee de verantwoordelijkheid bij een Exchange-hack afgeschoven kan worden op een derde partij en het eigen postje veilig gesteld blijft, dan mag je in het budget graaien. Dat is uiteindelijk ook de echte value proposition van zo'n external pentesting gedoe, het is een specifieke vorm van externe consultancy aka "verantwoordelijkheid afschuiven (als het misloopt) as a service". Welke firma die paar minuten werk doet is dan eigenlijk niet relevant, Secutec klinkt legit genoeg om op te kunnen afschuiven.
Zoals ik al in een andere topic zei: ik ben maar wat blij dat die opdringerige Microsoft salespersonen hier nooit door de deur geraakt zijn, ondanks de vele en grote cadeautjes die ze aanboden om toch maar die Exchange en wat nog te kopen. Niet alleen voor deze hack, als ik zie wat een miserie hun producten allemaal meebrengen, en eenmaal ze binnen geraakt zijn zit je echt vast aan hen. Ik ga niet ontkennen dat gelijksoortige zaken ook met andere vendors voorvallen - daar heb ik wel ervaring mee - maar Microsoft is toch nog een categorie apart.
Zoals ik al in een andere topic zei: ik ben maar wat blij dat die opdringerige Microsoft salespersonen hier nooit door de deur geraakt zijn, ondanks de vele en grote cadeautjes die ze aanboden om toch maar die Exchange en wat nog te kopen. Niet alleen voor deze hack, als ik zie wat een miserie hun producten allemaal meebrengen, en eenmaal ze binnen geraakt zijn zit je echt vast aan hen. Ik ga niet ontkennen dat gelijksoortige zaken ook met andere vendors voorvallen - daar heb ik wel ervaring mee - maar Microsoft is toch nog een categorie apart.
- Sasuke
- Elite Poster
- Berichten: 4854
- Lid geworden op: 13 aug 2003, 20:25
- Locatie: Vlaanderen
- Uitgedeelde bedankjes: 153 keer
- Bedankt: 332 keer
- Contacteer:
Wij hebben een 3 tal klanten gehad waarvan ze effectief webshells gevonden waren en daarvan 1 waar het actief misbruikt werd.
Als je logs nog zolang meegaan is dat script van Microsoft wel handig, maar anders is het een kwestie van een aantal folders na te kijken op bestanden die daar niet moeten staan. Kijk vooral al eens in je c:\windows\temp of daar geen .tmp folders en .bat files staan.
Als je logs nog zolang meegaan is dat script van Microsoft wel handig, maar anders is het een kwestie van een aantal folders na te kijken op bestanden die daar niet moeten staan. Kijk vooral al eens in je c:\windows\temp of daar geen .tmp folders en .bat files staan.
-
- Elite Poster
- Berichten: 2798
- Lid geworden op: 17 apr 2019, 11:47
- Uitgedeelde bedankjes: 88 keer
- Bedankt: 112 keer
Ik heb die van mij de eerste of tweede dag reeds gepatched en ook meteen gechecked... gelukkig niets gevonden.
Alle info kan je trouwens vinden op https://github.com/microsoft/CSS-Exchan ... n/Security
Huh... ik krijg een 404 op de EOMT
Alle info kan je trouwens vinden op https://github.com/microsoft/CSS-Exchan ... n/Security
Huh... ik krijg een 404 op de EOMT
Laatst gewijzigd door DarkV 15 maa 2021, 20:38, in totaal 1 gewijzigd.
- Sasuke
- Elite Poster
- Berichten: 4854
- Lid geworden op: 13 aug 2003, 20:25
- Locatie: Vlaanderen
- Uitgedeelde bedankjes: 153 keer
- Bedankt: 332 keer
- Contacteer:
De scripts van MS zijn enkel voldoende om de vulnerability zelf te mitigeren, maar halen niets uit indien je server reeds compromised was. (lek was al bekend sinds eind 2020 !!)
https://us-cert.cisa.gov/ncas/alerts/aa21-062a
De link hierboven geeft wat meer info over wat je moet nakijken om te zien of je niet reeds compromised bent.
https://us-cert.cisa.gov/ncas/alerts/aa21-062a
De link hierboven geeft wat meer info over wat je moet nakijken om te zien of je niet reeds compromised bent.
- Sinna
- Elite Poster
- Berichten: 2417
- Lid geworden op: 14 nov 2008, 08:22
- Twitter: KrSi78
- Locatie: Brugge
- Uitgedeelde bedankjes: 208 keer
- Bedankt: 152 keer
Ik heb op 4 maart al de patchronde doorgevoerd en ook de MS-scripts uitgevoerd. Het lijkt er op dat ik nog op tijd was, maar een second opinion zou goed zijn voor mijn gemoedsrust. De mitigatiescripts heb ik wel moeten aanpassen omdat deze de geïnstalleerde versie van IIS rewrite niet goed detecteerden.dragonflo schreef:We zijn wel 12 dagen verder sinds de patch uitkwam. Als je vandaag nog maar gepatched hebt, is de kans zeer groot dat je al lang (meerdere keren) gehackt bent.
Computer(k)nul
-
- Elite Poster
- Berichten: 6659
- Lid geworden op: 20 jun 2016, 18:36
- Uitgedeelde bedankjes: 18 keer
- Bedankt: 386 keer
Wat bedoel je met gemoedsrust?Sinna schreef: Ik heb op 4 maart al de patchronde doorgevoerd en ook de MS-scripts uitgevoerd. Het lijkt er op dat ik nog op tijd was, maar een second opinion zou goed zijn voor mijn gemoedsrust.
Als je met gemoedsrust bedoelt dat alles zeker veilig is nu, kan je de beschrijving van Microsoft nog eens volledig nalezen, de scan nog eens uitvoeren, en manueel checken op alle IOC's. Als alles ok is, kan je gerust zijn, tenzij je het gevoel hebt dat je niet weet waar je mee bezig bent en/of je dit complexe beest niet kan temmen, een gevoel dat we allemaal wel al eens gehad hebben, maar dan is het tijd om de broodnodige opleidingen aan te vragen. Een echte second opinion van iemand die er verstand van heeft is niet gratis maar in principe dus niet nodig, is er geen collega die nog eens onafhankelijk van jou een kijkje kan nemen?
Als je met gemoedsrust bedoelt dat je niet de verantwoordelijke wil zijn als je ondanks alles driedubbel te checken toch nog iets gemist zou hebben dat misschien zelfs niet aan jou te wijten is, schakel dan Secutec maar in. Zij zullen met plezier nog eens doen wat jij al gedaan hebt en dan een factuur van vijf cijfers voor de komma sturen om verantwoordelijk te zijn in jouw plaats zodat je je job hier niet zal door verliezen. De kans is niet klein dat de persoon die de test doet net van de school komt en niets van Exchange kent, maar wel het Secutec-scriptje kan starten dat al het werk doet. Maar daar gaat het niet over, het is de transfer van verantwoordelijkheid waar de poen voor schuift.
-
- Premium Member
- Berichten: 734
- Lid geworden op: 30 dec 2009, 23:49
- Uitgedeelde bedankjes: 11 keer
- Bedankt: 22 keer
Als je jouw exchange hebt gepatched moet je dat mitigatiescript toch niet meer uitvoeren?Sinna schreef: Ik heb op 4 maart al de patchronde doorgevoerd en ook de MS-scripts uitgevoerd. Het lijkt er op dat ik nog op tijd was, maar een second opinion zou goed zijn voor mijn gemoedsrust. De mitigatiescripts heb ik wel moeten aanpassen omdat deze de geïnstalleerde versie van IIS rewrite niet goed detecteerden.
-
- Premium Member
- Berichten: 472
- Lid geworden op: 14 mei 2004, 00:16
- Uitgedeelde bedankjes: 6 keer
- Bedankt: 26 keer
Er zijn een stuk of 10 criminele organisaties actief die duizenden bedrijven al hebben geinfiltreerd. Niet enkel op de exchange servers maar ondertussen al verder binnen het netwerk.
Dit gaat een ramp worden. Wel goed voor degene die bitcoin hebben , die prijs gaat hierdoor zwaar zwaar naar omhoog gaan.
Dit gaat een ramp worden. Wel goed voor degene die bitcoin hebben , die prijs gaat hierdoor zwaar zwaar naar omhoog gaan.
- Sasuke
- Elite Poster
- Berichten: 4854
- Lid geworden op: 13 aug 2003, 20:25
- Locatie: Vlaanderen
- Uitgedeelde bedankjes: 153 keer
- Bedankt: 332 keer
- Contacteer:
Wij hebben de meeste servers op de dag zelf gepatched en sommigen op de 4de. Bij die 3 compromised klanten waren de Shells geüpload in februari en bij 1 op 03/03 ... dus ja ...
Moet wel zeggen, het was nu de eerste keer dat ik eens punten moest geven aan een Citrix Netscaler ADC. Omdat zij de owa pages offloaden vanuit een eigen interne template, was je niet vulnerable voor de hafnium hack.
Moet wel zeggen, het was nu de eerste keer dat ik eens punten moest geven aan een Citrix Netscaler ADC. Omdat zij de owa pages offloaden vanuit een eigen interne template, was je niet vulnerable voor de hafnium hack.
-
- Pro Member
- Berichten: 305
- Lid geworden op: 28 dec 2009, 15:05
- Uitgedeelde bedankjes: 25 keer
- Bedankt: 15 keer
Microsoft Support Emergency Response Tool (MSERT) kan je ook gebruiken:
https://msrc-blog.microsoft.com/2021/03 ... arch-2021/
download hier: https://docs.microsoft.com/en-us/window ... r-download
https://msrc-blog.microsoft.com/2021/03 ... arch-2021/
download hier: https://docs.microsoft.com/en-us/window ... r-download
- Sinna
- Elite Poster
- Berichten: 2417
- Lid geworden op: 14 nov 2008, 08:22
- Twitter: KrSi78
- Locatie: Brugge
- Uitgedeelde bedankjes: 208 keer
- Bedankt: 152 keer
Bedankt voor de reacties tot nu toe. Ik pik op een aantal in:
Ik ben helaas de enige op het IT-departement. Mijn werkgever beseft dat dat een kwetsbaarheid op zich is, maar er is (op dit moment) geen ruimte voor een tweede persoon. Ik ben aan het kijken om een derde partij in nood te kunnen bijschakelen maar zover ben ik nog niet. Ik weet waar ik mee bezig ben (en ben op dat punt misschien soms wat té voorzichtig) maar vrees vroeg of laat toch eens critical information te missen waardoor ik een noodlottige steek laat vallen.CCatalyst schreef:Als je met gemoedsrust bedoelt dat alles zeker veilig is nu, kan je de beschrijving van Microsoft nog eens volledig nalezen, de scan nog eens uitvoeren, en manueel checken op alle IOC's. Als alles ok is, kan je gerust zijn, tenzij je het gevoel hebt dat je niet weet waar je mee bezig bent en/of je dit complexe beest niet kan temmen, een gevoel dat we allemaal wel al eens gehad hebben, maar dan is het tijd om de broodnodige opleidingen aan te vragen. Een echte second opinion van iemand die er verstand van heeft is niet gratis maar in principe dus niet nodig, is er geen collega die nog eens onafhankelijk van jou een kijkje kan nemen?
Gemoedsrust voor mij is vooral extra bevestiging dat ik de nodige stappen gezet heb om het probleem te mitigeren. Ik kan daar echter geen factuur van vijf cijfers voor de komma voor verantwoorden, temeer omdat de kans inderdaad reëel is dat die Secutec'er een scriptje laat lopen. Vandaar dat ik in mijn beginpost ook vroeg naar alternatieven.CCatalyst schreef:Als je met gemoedsrust bedoelt dat je niet de verantwoordelijke wil zijn als je ondanks alles driedubbel te checken toch nog iets gemist zou hebben dat misschien zelfs niet aan jou te wijten is, schakel dan Secutec maar in. Zij zullen met plezier nog eens doen wat jij al gedaan hebt en dan een factuur van vijf cijfers voor de komma sturen om verantwoordelijk te zijn in jouw plaats zodat je je job hier niet zal door verliezen. De kans is niet klein dat de persoon die de test doet net van de school komt en niets van Exchange kent, maar wel het Secutec-scriptje kan starten dat al het werk doet. Maar daar gaat het niet over, het is de transfer van verantwoordelijkheid waar de poen voor schuift.
Dat lijkt mij ook, maar uit voorzorg heb ik ze toch maar laten lopen (na aanpassingen wat detectie van de IIS URL Rewrite Module 2 betreft).dragonflo schreef:Als je jouw exchange hebt gepatched moet je dat mitigatiescript toch niet meer uitvoeren?
Die heb ik ook al laten lopen met verschillende custom scans zoals in verschillende artikels aangeraden zonder enige detectie.remus schreef:Microsoft Support Emergency Response Tool (MSERT) kan je ook gebruiken.
Die EOMT was mij nog niet bekend, maar is wel terug te downloaden.DarkV schreef:Ik heb die van mij de eerste of tweede dag reeds gepatched en ook meteen gechecked... gelukkig niets gevonden.
Alle info kan je trouwens vinden op https://github.com/microsoft/CSS-Exchan ... n/Security
Huh... ik krijg een 404 op de EOMT
In principe wel, tenzij je in een hybride omgeving (combi Office 365 met on-premise) draait.Goztow schreef:Is office 365 wel secure?
Computer(k)nul