Bei erfolgreich angegriffenen Exchange Servern mit dem HAFNIUM Exploit, werden unter Umständen die Verzeichnisberechtigungen verändert, dies führt dazu, dass betroffene Exchange Server eine Fehlermeldung bei der Installation von Updates melden. Hier mal ein Beispiel von einem Verzeichnis, bei dem die Berechtigungen geändert wurden:
Wie im Screenshot zu sehen ist, wurden die Berechtigungen für das Prinzipal „Jeder“ auf „Lesen“ gesetzt. Diese geänderten Berechtigungen führen zu der folgenden Fehlermeldung, wenn versucht wird ein Exchange Update zu installieren:
Fehler:
Fehler beim Installieren des Produkts c:\temp\Exchange Cu23\exchangeserver.msi. Schwerwiegender Fehler bei der Installation. Fehlercode: 1603. Letzter vom MSI-Paket ausgegebener Fehler: ‚The installer has insufficient privileges to access this directory: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\15.0.1497. The installation cannot continue. Log on as administrator or contact your system administrator.‘.
Normalerweise hat dieses Verzeichnis andere Berechtigungen wie in folgendem Screenshot zu erkennen ist:
Wie einem Tweet zu entnehmen ist, beschränkt sich dies nicht nur auf den Ordner \owa\auth, sondern auch auf andere Ordner. Auf Twitter gibt es bereits einige Leute die entsprechende Tweets veröffentlicht haben:
Wer bereits geänderte Verzeichnisrechte auf Exchange Verzeichnisse gefunden hat, muss also davon ausgehen, dass der Angriff auf den Exchange Server erfolgreich war. Auch wenn sich keine Auffälligen .js oder .apsx Dateien in den Verzeichnissen finden lassen, sollte der betroffene Exchange Server sofort vom Internet getrennt werden. Ich würde in diesem Fall zur Neuinstallation raten, da dies aktuell der sicherste Weg ist, um wieder eine „vertrauenswürdige“ Installation zu haben.
Wenn möglich sollte man sich vor der Neuinstallation, noch die Logfiles und Eventlogs sichern, damit im Nachhinein noch Details zum Angriff in Erfahrung gebracht werden können.
Update 14.03.21: Das folgende kleine Quick and Dirty Script kann verwendet werden um Verzeichnisse zu suchen, auf dem das Prinzipal „Jeder“ nur Leserechte hat:
$FolderRoot = "C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy"
$Principal = "Jeder"
$AllFolders = (Get-ChildItem $FolderRoot -Recurse -Directory | select fullname).Fullname
foreach ($Folder in $Allfolders) {
Get-Acl $Folder | where {$_.access.IdentityReference -match $Principal -and $_.access.FileSystemRights -match "Read"}
}
Bei Servern in englischer Sprache muss das Prinzipal auf „Everyone“ angepasst werden. FolderRoot ist das Startverzeichnis, ab dem rekursiv gesucht wird.