Die ersten Schritte bezüglich des Exchange HAFNIUM sind getan.
Ja, Sie lesen leider richtig! Nur “die ersten Schritte.“
Leider ist noch deutlich mehr zu beachten und zu tun. Je nachdem, wie Sie betroffen waren, stehen mehr oder weniger weiter zwingend notwendige ToDo´s an.
Wenn z.B. Ihr Active Directory kompromittiert ist, müssen Sie schnellstmöglich handeln:
Entweder durch eine vollständige Neuinstallation des AD oder ähnliche Szenarien.
Komplett neue Credentials (inkl. Service Accounts) und Verifizierung
aller Accounts, Gruppen und Berechtigungen im AD, oder ein Rettungsversuch mittels Golden-Ticket Mitigation.
Sie müssen nun entscheiden was Sie tun. Sprechen Sie uns an! Zumindest sollten Sie die unten aufgeführten ToDo´s durchführen.
Unabhängig ob Sie diese selbst durchführen oder ausführen lassen wollen.
In beiden Fällen unterstützen wir Sie gerne. Egal welchen Weg Sie gehen, sollten Sie trotzdem zwingend folgende Sofortmaßnahmen durchführen:
- Wechsel aller Passwörter von allen administrativen Konten
- Computer-Konten für den Exchange-Server zurück setzen (falls noch nicht geschehen)
- Invalidieren von Golden-Ticket-Angriffen durch doppelte Passwortänderung
des KRBTGT-Benutzerkontos - Überprüfen auf neu angelegte Benutzerkonten im Active Directory während
des Kompromittierungszeitraums, mit Schwerpunkt auf administrativen Konten - Prüfen Sie die folgenden Gruppenmitgliedschaften im Active Directory auf neue oder geänderte Accounts:
“Exchange Organization Administrators”
“Exchange Windows Permissions”
- Erhöhen der Protokollierung mit Beachtung Ihrer Systemressourcen (freier Speicherplatz der Storage etc.)
- Erhöhen Sie die Mindestaufbewahrungsfrist der Logfiles bei ausreichend freiem Speicher auf folgenden IT-Systemen: Security Log des Domänenkontrollers, Exchange-Zugriffsprotokolle, Web Proxy-Log, Firewall-Logs, falls Analyser vorhanden
- Überprüfen der Logfiles auf besonders relevanter Ereignismeldungen
- Hierbei können die SIGMA Regeln verwendet werden, um die Logfiles automatisiert zu überwachen
- Überwachen Sie externe erreichbare Fernzugänge ohne MehrFaktor-Authentifizierung auf unbefugte Zugriffe
- Wöchentliches Überprüfen der Server mittels des Microsoft Safety Scanners
- Nutzung des Thor-Lite Scanners
- Systematisches Ändern von Zugangsdaten und Passwörtern, insbesondere bei administrativen Benutzerkonten
- Überprüfen des Exchange Servers auf neu angelegte Benutzerkonten, Dienste oder zusätzlich ausgeführte Programme bzw. abgelegte Dateien
- Führen Sie regelmäßig eine vollständige Virenprüfung Ihrer IT-Systeme durch
- Erwägen Sie die Einführung einer Mehr-Faktor-Authentifizierung für externe Zugänge zu Ihrem Netzwerk
- Sofern noch nicht vorhanden, führen Sie eine Offline-Datensicherung ein
- Sensibilisierung von Personal und Dienstleistern im Hinblick auf mögliche Phishing Angriffe/CEO-Fraud-Szenarien. Warnen Sie insbesondere vor E-Mails, die mit Bezug auf bestehende E-Mails auf geänderte Bankverbindungen oder Lieferadressen hinweisen bzw. ungewöhnliche Anlagen enthalten. Hilfestellung zum Erkennen von verdächtigen E-Mails stellt das BSI auf seiner Website bereit
- 2x Wöchentlich Check der Logs / Systeme durch Scans
Gerne unterstützen wir Sie bei den Einstellungen bzw. der Prüfung der aufgeführten Positionen. Wir weisen Sie darauf hin, ob die bestehende Umgebung die erforderlichen Ressourcen bietet, oder evtl. Anschaffungen notwendig sind.