Exhange hinter reverseproxy meldung bsi 6.3

[kidlark]

Werte Kollegen,
Hallo Securepoint Support!

Wie ist eure Einschätzung bezüglich der vom BSI gemeldeten Sicherheitslücke im EXChange seit Version 2010?

Wie viele andere auch nutze ich die Reverse proxy Funktion in der UTM zum Schutz und zur Veröffentlichung der OWA Schnittstelle im Netz.

Ist der ExChange dadurch vor dem exploit geschützt? Das BSI ist in dem veröffentlichen Dokument da leider nicht eindeutig.

Grüße

Georg

[wellmann]

Ist interessant (auch ob der Threat-Intelleigence Feed, resp. CyberDefense Cloud die Verbindungen direkt auf 443 erkennen und proaktiv über IDS/IPS blocken kann?)! Erste Anzeichen dafür dass die CyberDefense Cloud teilweise Verbindungen blockiert hat, habe ich in den von mir betreuten UTMs sehen können.

Im Forum bei Heise gab es einen User der sehr umfassend von seiner Erfahrung mit dem Exploit berichtet hat. Alle seine Systeme sollen sich nach seinen Angaben hinter einem Reverse-Proxy (Sophos) befunden haben.

Es sollen auch Systeme durch den R-Proxy infiziert worden sein. Allerdings wurde kein System, welches neben R-Proxy auch mit Geo-IP-Blocking arbeitet und alle Anfrage außerhalb von DE ablehnt, infiziert.

Unabhängig vom aktuellen Exploit ist das GEO-IP-Blocking auch für unsere SecurePoint-UTMs sehr interessant.
So oft, wie ich in den Logs mitbekomme dass die UTMs gescannt werden oder versucht wird (z.B. SMTP-)Dienste auszuspähen - überwiegend aus Asien oder Russische Föderation)  - wäre so ein Feature für die UTMs echt überfällig und eine baldige Implementierung sehr willkommen!

LG,
Malte

[carsteng]

Der RP schützt hier alleine nicht, wenn der Verkehr nicht zusätzlich aktiv überwacht wird. Hier ist wirklich die Frage, ob die CyberDefense nicht bei manch einem das Exchange Desaster verhindert hat, aber das ist nur reine Mutmaßung.

Nicht desto trotzt wäre hier Geo Blocking eine nützliche Funktion gewesen. Zusätzlich wären jetzt auch endlich mal die Let's Enrcypt Implementierung angesagt und wenn man den RP wirklich sicher machen will eine 2FA Authentifizierung. Hier können sich einige Security Firmen wirklich nicht rühmen und Securepoint gehört leider dazu, da hier Funktionen, welche es bei der Konkurrent schon lange gibt, einfach nicht voran kommen. Vielleicht hat jetzt mal einer den letzten Schuss gehört.

[Mario]

Der Threat Intelligence Filter im IDS unterbindet nur den Zugriff von IP-Adressen, die auf unserer Blacklist stehen. Wird der Angriff von einer IP-Adresse ausgefuehrt die uns nicht bekannt ist, kann dieser den Zugriff nicht sperren.

Richtig sicher wird es mit einem VPN-Tunnel. Viele Endgeraete haben heutzutage VPN-Konnektivitaet als Option. Und auch wenn es erst einmal aufwaendig klingt: Das Ergebnis ist ein Exchange oder eine andere anfaellige/ fuer Angriffe attraktive interne Ressource, die nicht von Außen in irgendeiner Form direkt angesprochen werden kann. Sondern nur ueber den Tunnel.

Zum Geo-IP Blocking kann ich aktuell jedoch nichts sagen.

[Mario]

Es gibt noch eine weitere Moeglichkeit: "Zugriff ueber den Reverse-Proxy nur mit zertifikatsbasierenden Authentifizierung"

[joser19330]

Der Threat Intelligence Filter im IDS unterbindet nur den Zugriff von IP-Adressen, die auf unserer Blacklist stehen. Wird der Angriff von einer IP-Adresse ausgefuehrt die uns nicht bekannt ist, kann dieser den Zugriff nicht sperren.

Die IDS/IPS samt Cyber Defence Cloud der Next Gen UTM, ist also nur ein billiger IP-Filter o.O
Eine OPNsense mit suricata ist hier also mehr "Next Gen" als eine SecurePoint?

[carsteng]

Es gibt noch eine weitere Moeglichkeit: "Zugriff ueber den Reverse-Proxy nur mit zertifikatsbasierenden Authentifizierung"

Dann wären wir wieder bei der fehlenden Let's Encrypt Implementierung.

Die IDS/IPS samt Cyber Defence Cloud der Next Gen UTM, ist also nur ein billiger IP-Filter o.O

Eine OPNsense mit suricata ist hier also mehr "Next Gen" als eine SecurePoint?

Erschreckend oder? ^^

[Mario]

Der Threat Intelligence Filter im IDS unterbindet nur den Zugriff von IP-Adressen, die auf unserer Blacklist stehen. Wird der Angriff von einer IP-Adresse ausgefuehrt die uns nicht bekannt ist, kann dieser den Zugriff nicht sperren.

Die IDS/IPS samt Cyber Defence Cloud der Next Gen UTM, ist also nur ein billiger IP-Filter o.O
Eine OPNsense mit suricata ist hier also mehr "Next Gen" als eine SecurePoint?

So simpel ist das natuerlich nicht, da die Liste durch unser Content-Filter Team zusammen getragen und aktuell gehalten wird.

Suricata ist ein Aufsatz, welcher weitere Funktionalitaeten fuer die Ueberwachung bietet. Im Endeffekt also ein erweitertes Regelwerk, welches auf Pattern reagiert usw. Zudem koennen auch Daten abgegriffen werden. Mit diesem Werkzeug sollte man vorsichtig bezueglich des Datenschutz sein. Eine Performance/ Hardware-Anforderung steht hier auch noch im Raum.

Ein Teil dieser Features ist ueber die Securepoint Firewall realisierbar. Sei es ueber den HTTP-Proxy oder eben entsprechendes Logging usw.

[Mario]

Es gibt noch eine weitere Moeglichkeit: "Zugriff ueber den Reverse-Proxy nur mit zertifikatsbasierenden Authentifizierung"

Dann wären wir wieder bei der fehlenden Let's Encrypt Implementierung.

Die IDS/IPS samt Cyber Defence Cloud der Next Gen UTM, ist also nur ein billiger IP-Filter o.O

Eine OPNsense mit suricata ist hier also mehr "Next Gen" als eine SecurePoint?

Erschreckend oder? ^^

Let's encrypt wird mit der v12 kommen.

[MB1982]

Bei uns wurde kein System angegriffen, welches hinter einem Reverseproxy stand. Ich blocke über den Reverseproxy aber auch alle Anfragen an /ECP usw. das scheint zumindest schlimmeres verhindert zu haben. Auf einem System ohne ReverseProxy, wo nur eine Sophos nach Spam und Viren filterte gab es mehrere Zugriffe über das ProxyLogin wo dann JavaScript Dateien ausgeführt wurden. Es wurden auch unbekannte Webshells eingerichtet(mehrere .aspx Dateien im www root).

Patchen sollte man auf jeden Fall. Von der Cloud Intelligenz hätte ich jetzt aber ehrlich gesagt auch mehr erwartet. So scheint das ja nur eine zentrale IP Blacklist zu sein. Dachte das Teil erkennt dynamisch wenn z.B. auf einmal auffällig viele Zugriffe von bestimmten IPs auf bestimmte Ports bei mehreren Kunden passieren. Aber wie so oft im Leben, was der Vertrieb verspricht, muss die Technik erst mal halten ;-)

[joser19330]

So simpel ist das natuerlich nicht, da die Liste durch unser Content-Filter Team zusammen getragen und aktuell gehalten wird.

Klar, theoretisch ist auch jeder Server der nicht lokal bei einem steht ein "Cloud Server". Somit ist ein Mitarbeiter bei SP der eine Liste pflegt natürlich auch Cloud Intelligenz. Solltet ihr per Script von verschiedenen Quellen eure Blacklists zusammentragen könnt ihr sogar KI dran schreiben. Sorry Securepoint aber das Marketing mag das vielleicht als vollkommen korrekt ansehen aber man erwartet schon etwas mehr hinter den Kulissen als sowas.
Was suricata ist war mir bewusst, deswegen hatte ich das als Beispiel erwähnt. Es wäre doch schön gewesen, wenn ihr den js payload über eure "Cloud Intelligenz" hättet weg blocken können bei allen Kunden. Damit hättet ihr effektiv was für die Sicherheit getan aber paar IP's zu blocken ist da nur ein tropfen auf den heißen Stein.

Bei uns wurde kein System angegriffen, welches hinter einem Reverseproxy stand. Ich blocke über den Reverseproxy aber auch alle Anfragen an /ECP usw. das scheint zumindest schlimmeres verhindert zu haben. Auf einem System ohne ReverseProxy, wo nur eine Sophos nach Spam und Viren filterte gab es mehrere Zugriffe über das ProxyLogin wo dann JavaScript Dateien ausgeführt wurden. Es wurden auch unbekannte Webshells eingerichtet(mehrere .aspx Dateien im www root).

Patchen sollte man auf jeden Fall. Von der Cloud Intelligenz hätte ich jetzt aber ehrlich gesagt auch mehr erwartet. So scheint das ja nur eine zentrale IP Blacklist zu sein. Dachte das Teil erkennt dynamisch wenn z.B. auf einmal auffällig viele Zugriffe von bestimmten IPs auf bestimmte Ports bei mehreren Kunden passieren. Aber wie so oft im Leben, was der Vertrieb verspricht, muss die Technik erst mal halten ;-)

Kann ich so bestätigen. Unser Exchange hängt ebenfalls hinter einem Reverse Proxy wo auch kein ECP geht und dieser wurde nicht attackiert.

[Mario]

So simpel ist das natuerlich nicht, da die Liste durch unser Content-Filter Team zusammen getragen und aktuell gehalten wird.

Klar, theoretisch ist auch jeder Server der nicht lokal bei einem steht ein "Cloud Server". Somit ist ein Mitarbeiter bei SP der eine Liste pflegt natürlich auch Cloud Intelligenz. Solltet ihr per Script von verschiedenen Quellen eure Blacklists zusammentragen könnt ihr sogar KI dran schreiben. Sorry Securepoint aber das Marketing mag das vielleicht als vollkommen korrekt ansehen aber man erwartet schon etwas mehr hinter den Kulissen als sowas.
Was suricata ist war mir bewusst, deswegen hatte ich das als Beispiel erwähnt. Es wäre doch schön gewesen, wenn ihr den js payload über eure "Cloud Intelligenz" hättet weg blocken können bei allen Kunden. Damit hättet ihr effektiv was für die Sicherheit getan aber paar IP's zu blocken ist da nur ein tropfen auf den heißen Stein.

Bei uns wurde kein System angegriffen, welches hinter einem Reverseproxy stand. Ich blocke über den Reverseproxy aber auch alle Anfragen an /ECP usw. das scheint zumindest schlimmeres verhindert zu haben. Auf einem System ohne ReverseProxy, wo nur eine Sophos nach Spam und Viren filterte gab es mehrere Zugriffe über das ProxyLogin wo dann JavaScript Dateien ausgeführt wurden. Es wurden auch unbekannte Webshells eingerichtet(mehrere .aspx Dateien im www root).

Patchen sollte man auf jeden Fall. Von der Cloud Intelligenz hätte ich jetzt aber ehrlich gesagt auch mehr erwartet. So scheint das ja nur eine zentrale IP Blacklist zu sein. Dachte das Teil erkennt dynamisch wenn z.B. auf einmal auffällig viele Zugriffe von bestimmten IPs auf bestimmte Ports bei mehreren Kunden passieren. Aber wie so oft im Leben, was der Vertrieb verspricht, muss die Technik erst mal halten ;-)

Kann ich so bestätigen. Unser Exchange hängt ebenfalls hinter einem Reverse Proxy wo auch kein ECP geht und dieser wurde nicht attackiert.

Die Intelligenz unseres Contentfilter-Teams ist sicher nicht kuenstlich. Und natuerlich bedienen wir uns auch weiterer Hilfsmittel. Das Zusammentragen von vorhandenen Listen ist eine davon.

Um den Payload zu blockieren muss dieser ja erst einmal bekannt sein/ entdeckt werden. Das macht suricata auch nicht einfach so von alleine. Wild IP-Adressen zu blockieren hilft hier auch nicht wirklich weiter, denn der Angriff kann praktisch von ueberall kommen, wenn der Reverse Proxy auf das gesamte Internet horcht.

[joser19330]

So simpel ist das natuerlich nicht, da die Liste durch unser Content-Filter Team zusammen getragen und aktuell gehalten wird.

Klar, theoretisch ist auch jeder Server der nicht lokal bei einem steht ein "Cloud Server". Somit ist ein Mitarbeiter bei SP der eine Liste pflegt natürlich auch Cloud Intelligenz. Solltet ihr per Script von verschiedenen Quellen eure Blacklists zusammentragen könnt ihr sogar KI dran schreiben. Sorry Securepoint aber das Marketing mag das vielleicht als vollkommen korrekt ansehen aber man erwartet schon etwas mehr hinter den Kulissen als sowas.
Was suricata ist war mir bewusst, deswegen hatte ich das als Beispiel erwähnt. Es wäre doch schön gewesen, wenn ihr den js payload über eure "Cloud Intelligenz" hättet weg blocken können bei allen Kunden. Damit hättet ihr effektiv was für die Sicherheit getan aber paar IP's zu blocken ist da nur ein tropfen auf den heißen Stein.

Bei uns wurde kein System angegriffen, welches hinter einem Reverseproxy stand. Ich blocke über den Reverseproxy aber auch alle Anfragen an /ECP usw. das scheint zumindest schlimmeres verhindert zu haben. Auf einem System ohne ReverseProxy, wo nur eine Sophos nach Spam und Viren filterte gab es mehrere Zugriffe über das ProxyLogin wo dann JavaScript Dateien ausgeführt wurden. Es wurden auch unbekannte Webshells eingerichtet(mehrere .aspx Dateien im www root).

Patchen sollte man auf jeden Fall. Von der Cloud Intelligenz hätte ich jetzt aber ehrlich gesagt auch mehr erwartet. So scheint das ja nur eine zentrale IP Blacklist zu sein. Dachte das Teil erkennt dynamisch wenn z.B. auf einmal auffällig viele Zugriffe von bestimmten IPs auf bestimmte Ports bei mehreren Kunden passieren. Aber wie so oft im Leben, was der Vertrieb verspricht, muss die Technik erst mal halten ;-)

Kann ich so bestätigen. Unser Exchange hängt ebenfalls hinter einem Reverse Proxy wo auch kein ECP geht und dieser wurde nicht attackiert.

Die Intelligenz unseres Contentfilter-Teams ist sicher nicht kuenstlich. Und natuerlich bedienen wir uns auch weiterer Hilfsmittel. Das Zusammentragen von vorhandenen Listen ist eine davon.

Um den Payload zu blockieren muss dieser ja erst einmal bekannt sein/ entdeckt werden. Das macht suricata auch nicht einfach so von alleine. Wild IP-Adressen zu blockieren hilft hier auch nicht wirklich weiter, denn der Angriff kann praktisch von ueberall kommen, wenn der Reverse Proxy auf das gesamte Internet horcht.

Das mit der KI war offensichtlich ein scherz, hätte mich auch gewundert, wenn sowas bei euch zum Einsatz kommt :P

Mal im Ernst der Payload oder nach was zu suchen ist, ist öffentlich im Netz zu finden sogar samt POC Exploit und check Script. Klar ist das nicht immer so aber bei 99% der "Attacken" ist der Ablauf früher oder später bekannt und könnte erkannt werden. Es ging mir nie um von alleine oder sowas, sondern das man sowas erkennen könnte und somit zumindest eine Hand voll Kunden schützen könnte (zumindest bei so großen Sachen wie die Exchange Lücke) und man sich eher sowas von einer Intelligenten Cyber Cloud vorstellt als ein IP Filter. 

[Mario]

Im Prinzip gebe ich Ihnen da auch Recht. Wenn der Reverse-Proxy da auf Viren scannen wuerde/ koennte waere das schon mal ein Schritt. Ich denke jedoch nicht, das es in dem Moment geholfen haette. Bis das Pattern vom AV integriert ist dauert es ja auch eine Weile. Der Reverse-Proxy ist aber, soweit ich das weiß, nicht fuer diesen Zweck integriert. Er soll Webserver verfuegbar machen/ Lastenausgleich ermoeglichen, ohne das direkt per DESTNAT-Regel mit den Servern kommuniziert wird. Idealerweise stehen die Server dann auch in einem eigenen Netz ohne ANY-Regel zu dem Rest der Mannschaft.


Besser waere es gewesen, von Anfang an den Exchange hinter einem VPN zu betreiben, oder den Reverse-Proxy mit der Anforderung auf ein Client-Zertifkat zu verwenden. Beides haette ausreichend geschuetzt. Und zwar ohne ein entsprechendes Pattern.

Wer den Server per DESTNAT-Regel nach Außen geschoben hat kann auch nicht durch einen Reverse-Proxy mit fiktiven AV geschuetzt werden. Da hilft alles nichts. Maximal eine Schulung bei uns oder eben so ein Vorfall, der demjenigen vor Augen fuehrt, das dies eine sehr schlechte Idee gewesen ist.

Das IDS/ IPS allgemein zu verbessern ist auf jeden Fall auch eine wichtige Sache. Potential besteht hier definitiv. Gerne auch in unserer Wunschbox Ideen hinterlassen! 

Ich wuensche ein schoenes Wochenende!

[Mario]

Edit!

[MB1982]

NextGen Unified Threat Management Firewalls

Schwarmintelligenz, Data-Mining und Machine Learning machen Securepoint UTM-Firewalls zu einer der effektivsten und effizientesten Lösungen für Ihre IT-Sicherheit. Securepoints Cyber Defence Cloud versorgt die UTM-Firewall kontinuierlich mit Echtzeit-Daten zu aktuellen Bedrohungen und Angriffen und sorgt so für zuverlässige Netzwerksicherheit.

Das alles sind nun ein paar Mitarbeiter die eine Blacklist pflegen? Oder was sollen die Echtzeit Daten sein? Die Antivirus Definitionen? Bin ehrlich gesagt ein wenig erschrocken und entsetzt. Ich meine die Kollegen von Sophos trommeln ja ähnlich. Anscheinend müsen für den Verkauf die Buzzwords Cloud Cyber KI Learning Managed enthalten sein. Unter Schwarmintelligenz würde ich z.B. schon verstehen, dass die SP UTMs gemeinsam feststellen wenn von einer bestimmten IP, bestimmte Ports und ReverseProxy Adressen in kurzer Zeit angesprochen werden.

[Matthias_Ueberschär]

NextGen Unified Threat Management Firewalls

Schwarmintelligenz, Data-Mining und Machine Learning machen Securepoint UTM-Firewalls zu einer der effektivsten und effizientesten Lösungen für Ihre IT-Sicherheit. Securepoints Cyber Defence Cloud versorgt die UTM-Firewall kontinuierlich mit Echtzeit-Daten zu aktuellen Bedrohungen und Angriffen und sorgt so für zuverlässige Netzwerksicherheit.

Das alles sind nun ein paar Mitarbeiter die eine Blacklist pflegen? Oder was sollen die Echtzeit Daten sein? Die Antivirus Definitionen? Bin ehrlich gesagt ein wenig erschrocken und entsetzt. Ich meine die Kollegen von Sophos trommeln ja ähnlich. Anscheinend müsen für den Verkauf die Buzzwords Cloud Cyber KI Learning Managed enthalten sein. Unter Schwarmintelligenz würde ich z.B. schon verstehen, dass die SP UTMs gemeinsam feststellen wenn von einer bestimmten IP, bestimmte Ports und ReverseProxy Adressen in kurzer Zeit angesprochen werden.

Das sehe ich leider sehr ähnlich, was die Marketing-Abteilung schreibt klingt leider sehr viel besser als es in Wirklichkeit ist. Und die Wunschbox wird leider auch sehr schnell aus Ausrede benutzt, man sollte es dort posten. Wenn man sich aber anschaut, dass dort seit 2 Jahren Geoblock gefordert wird, auch nicht gerade von wenig Personen und es immer noch nicht implementiert ist stellt sich die Frage, ob wirklich auf die Wünsche eingegangen wird oder nur wenn es gerade auch passt.

[obb]

Bei uns wurde kein System angegriffen, welches hinter einem Reverseproxy stand. Ich blocke über den Reverseproxy aber auch alle Anfragen an /ECP usw. das scheint zumindest schlimmeres verhindert zu haben. Auf einem System ohne ReverseProxy, wo nur eine Sophos nach Spam und Viren filterte gab es mehrere Zugriffe über das ProxyLogin wo dann JavaScript Dateien ausgeführt wurden. Es wurden auch unbekannte Webshells eingerichtet(mehrere .aspx Dateien im www root).

Patchen sollte man auf jeden Fall. Von der Cloud Intelligenz hätte ich jetzt aber ehrlich gesagt auch mehr erwartet. So scheint das ja nur eine zentrale IP Blacklist zu sein. Dachte das Teil erkennt dynamisch wenn z.B. auf einmal auffällig viele Zugriffe von bestimmten IPs auf bestimmte Ports bei mehreren Kunden passieren. Aber wie so oft im Leben, was der Vertrieb verspricht, muss die Technik erst mal halten ;-)

Hallo,

das sperren von /ECP hat bei allen meinen Exchangeservern eine Infektion verhindert! Bei anderen Servern hinter einem RP (mit erreichbarem /ECP wurden Webshells eingerichtet.

lgo