ALARMSTUFE GELB – vermehrte Trojaner Emails durch Hack von Outlook / Exchange Mailservern

Da jetzt 2 Mails in 2 Tagen aufgetaucht sind, die Trojaner enthalten und dem gleichen Schema folgen, und wir von mehr wissen, muß ich folgende Warnung abgeben:

Achten Sie dringend darauf:
KEINE ATTACHMENTS ANKLICKEN/SPEICHERN/AUSFÜHREN .

 

Die Trojaner Emails sind an folgendem Muster erkennbar

ZIP Attachment mit 4-5 Buchstaben als Filename.

Der Inhalt der Email knüpft an eine Korrespondenz an, die Ihr mit einem Kontakt früher hattet.

I.d.R. so was: „Ich habe Ihnen gestern ein Dokument gesendet. Ist es dir angekommen?“

UND Umlaute gibts nicht mehr im Text, es gibt Buchstabendoppler und andere Bugs:

Sehr geehrte Projektbeteiligte,
im Anhang erhalten Sie das Protokoll Nr.: 208/AA 012 zur Baubesprechung vom 01.11.2024 zu Ihrer Kenntnisnahme und frIhre Unterlagen.
Termin der nchsten Baubesprecchng 019:
Bei Rckfrgen stehen wir Ihnen gerne zurr Verfgung.
Mit freundlichen Gren

MAßNAHMEN:

  1. Attachment mit der rechten Maus anklicken -> Anhang löschen
  2. Mail nicht löschen, zwecks Beweissicherung. Kann nach 6 Monaten weg.
  3. echten Kontakt über bekannte! Kontaktwege informieren, daß deren Outlook/Exchange gehackt wurde:

Diese Links mitschicken:

https://thehackernews.com/2024/02/critical-exchange-server-flaw-cve-2024.html

http://blog.fefe.de/?ts=9b3393bb

https://krebsonsecurity.com/2024/02/fat-patch-tuesday-february-2024-edition/

Weil:

Rapid7’s lead software engineer Adam Barnett highlighted CVE-2024-21413, a critical remote code execution bug in Microsoft Office that could be exploited just by viewing a specially-crafted message in the Outlook Preview pane.

Narang called special attention to CVE-2024-21410, an “elevation of privilege” bug in Microsoft Exchange Server that Microsoft says is likely to be exploited by attackers. Attacks on this flaw would lead to the disclosure of NTLM hashes, which could be leveraged as part of an NTLM relay or “pass the hash” attack, which lets an attacker masquerade as a legitimate user without ever having to log in.

Brian Krebs kommentiert dazu:

BrianKrebs @briankrebs

„IDK when Microsoft knew what, but this was definitely a vulnerability that was going to get reverse engineered and pounced on. It’s a scroll-your-Outlook-inbox-and-get-pwned bug. This could get bad quick.“

Und Ja, Brian Krebs hat recht, die Hütte brennt lichterloh!

LIEGT DER HACK BEI IHNEN?

Wenn Sie Outlook einsetzen, dann stellen Sie sicher, daß es alle Updates bekommen hat. Wenn Sie nicht auf dem neuesten Stand sind, könnten Sie betroffen sein. Wir empfehlen sofort auf Thunderbird umzusteigen, sollten keine Updates einspielbar sein.

Die Anzahl der Hacks in Emails im Zusammenhang mit den Outlook/Exchange Hacks nimmt rapide zu.

Daher kontaktieren Sie Ihre IT, informieren diese ggf. mit den obigen Links und lassen Sie alles Updaten.

Verhältnis von TLS 1.2 zu TLS 1.3 und was uns das sagt

Vor einigen Tagen hatte ich ja den Proofe Point Fall mit der veralteten TLS-Suite bei Proofe Point. Da wollte ich mal was wissen 🙂

Verhältnis von TLS 1.2 zu TLS 1.3 und was uns das sagt

Das ist hier eine repräsentative Stichprobe von unseren Mailservern, also nicht von allen, weil ich nur den Trend wissen wollte:

man sieht über 4 Wochen einen höheren Anteil von TLS 1.3 VerbindungenDas Verhältnis ist recht konstant 45% zu 55%, verbessert sich aber leicht zu 44% zu 56% in 2024.

Wer aufgepasst hat weiß jetzt was uns das sagt

Nämlich das 45% aller Mailserver die uns was senden, nur um die ging es, völlig veraltet oder fehlkonfiguriert sind.

Für alle die, die die Aussage nicht verstehen: Weil die sonst TLS 1.3 gesprochen hätten, denn das ist in der Wertung die stärkere Verschlüsselung und würde beim Handshake priorisiert werden von den Mailserver-SSL-Suites.

Natürlich sind „45% die uns was senden“ nicht gleich automatisch 45% aller weltweiten Mailserver, sondern eben nur derer die mit meinem Cluster gesprochen haben. Ganz wichtig, das könnten immer die gleichen Mailserver sein und sich lediglich aufgrund der Menge der Verbindungen in die Statistik einbringen. Das auszuwerten wäre jetzt aber aufgrund der vielen Netze viel zu aufwändig.

Es wäre also besser zu sagen: „45% aller Verbindungen zu uns, stammen von Mailservern mit veralteter Software“.

Wenn das mit Elliptic Curve Zertifikaten richtig durchstartet, dann knallt es in der Mailgemeinde.

SMTP: pphosted.com trifft auf moderne SSL-Technik

Update: Vodafone reagierte doch … irgendwann

Was lange währt, währt endlich gut? Diesmal stimmts 🙂

Update: Vodafone reagierte doch … irgendwann

Kennt Ihr den noch?:

Vodafone: falsche SSL-Cipher behindern Mailserver

Das war 2021 und ich dachte mir so „och, schauen wir doch mal nach.“:)

Da kam das raus:

# openssl s_client -connect mx01.xworks.net:25 -starttls smtp |grep Cipher
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let’s Encrypt, CN = R3
verify return:1
depth=0 CN = *.xworks.net
verify return:1
250 HELP
New, SSLv3, Cipher is DHE-RSA-AES256-SHA

also der gleich Cipher wie das letzte mal. Da dachte ich schon, das Vodafone nichts gelernt hätte, aber, wie sich zeigt, hat nur xworks.net nichts dazugelernt. Vodafone hat sich einen neuen Mailserver zugelegt:

# dig +short mx kabelmail.de
10 mx5.vodafonemail.de.

wies aussieht, daß Vodafone den Mailserverpartner gewechselt. Der ist zwar langsam wie eine Teergrube, aber …

# openssl s_client -connect mx5.vodafonemail.de:25 -starttls smtp |grep Cipher
depth=2 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Server CA
verify return:1
depth=0 CN = smtp.vodafone.de
verify return:1
250 CHUNKING
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384

Da hat sich das Warten also gelohnt 😉 Op Success!