Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe

[English]Noch ein kurzer Nachtrag zum unendlichen Thema Proxylogon-Schwachstelle und Hafnium-Massenhack. Microsoft hat neue Updates für alte CUs freigegeben. Ergänzung: Dort gibt es aber Probleme. Um die 10 Hackergruppen versuchen nun die Schwachstellen in ungepatchten Exchange Servern auszunutzen, und die Liste der bekannten Opfer wird länger. Artikel aktualisiert, denn das Umweltbundesamt legt seine E-Mail-Infrastruktur still.


Anzeige

Neue Patches für alte CUs

Im Artikel Exchange-Hack: Neue Patches und neue Erkenntnisse hatte ich darauf hingewiesen, dass Microsoft Sonderupdates für ältere kumulative Exchange Server Updates, die aus dem Support gefallen sind, bereitgestellt hat. Damit lassen sich Installationen aktualisieren, die nicht auf dem neuesten Patchstand sind. Das betrifft Exchange Server 2016 CU 16, CU 15 und CU14 sowie Exchange Server 2019 CU 6, CU 5 und CU 4. Von Lesern wurde angemerkt, dass bestimmte CUs fehlten. Die Nacht ist von Microsoft eine Sicherheitsbenachrichtigung eingetrudelt. Ich stelle mal die Information unkommentiert hier ein.

*************************************************************
Title: Microsoft Security Update Releases
Issued: March 10, 2021
*************************************************************

Summary
=======

The following CVEs have undergone a major revision increment:


Anzeige

Critical CVEs
============================

CVE-2021-26855
* CVE-2021-27065
* CVE-2021-26857

Important CVEs
============================

* CVE-2021-26858

Publication information
===========================

– Microsoft Exchange Server Remote Code Execution Vulnerability
– See preceding list for links
– Version 3.0
– Reason for Revision: Microsoft is releasing security updates for CVE-2021-27065,
CVE-2021-26855, CVE-2021-26857, and CVE-2021-26858 for several Cumulative Updates
that are out of support, including Exchange Server 2019 CU 3; and Exchange Server
2016 CU 17, CU 13, CU12; and Exchange Server 2013 CU 22, CU 21. These updates
address only those CVEs. Customers who want to be protected from these
vulnerabilities can apply these updates if they are not on a supported cumulative
update. Microsoft strongly recommends that customers update to the latest supported
cumulative updates.
– Originally posted: March 2, 2021
– Updated: March 10, 2021

Es wurden also neue Patches freigegeben. Ergänzung: Blog-Leser Thomas B. hat mir gerade eine Mail mit Hinweisen auf Probleme geschickt (danke dafür):

Issue: Outlook mobile app do not detect Exchange Hybrid anymore

+ This issue started at 04/03 right after installing at 03/03, the new March Exchange Server Security release. (KB5000871)

+ What happens is that when the new users configure their mailbox in the Outlook mobile app, they can't access their emails or the calendar, even if they wait hours, the emails never get downloaded.

+ Autodetect doesn't seem to retrieve the endpoints from the Exchange On-Premises and because of that, a dialog box opens asking for the user to manually configure the settings (Email address, Server Name, Domain, Username and Password)

Das Microsoft Exchange Team untersucht noch.

Neue Opfer des Exchange-Hacks

Das BSI gab in einer Warnung vor einigen Tagen gekannt, dass sechs Bundesbehörden vom Exchange-Massenhack betroffen seien (siehe z.B. diesen Artikel), ohne Namen zu nennen. Hier im Blog haben Nutzer aber einige Fälle verlinkt, die mutmaßlich auf diesen Angriff zurückgehen. Ich stelle mal einige Meldungen hier ein (ohne Details zu kommentieren).

  • Gemeinde Gerstetten:  Zum 8.3.2021 wird gemeldet, dass ein Cyberangriff auf den Exchange Server stattgefunden habe. Sicherheitshalber wurde umgehend der E-Mailserver der Gemeinde Gerstetten sowie die gesamte Netzwerkinfrastruktur sämtlicher Dienststellen der Gemeindeverwaltung abgeschaltet.
  • Stadt Perleberg: Zum 9.3.2021 gibt es die Meldung, dass die gesamten Stadtverwaltung Perleberg bis auf Weiteres nicht per E-Mail erreichbar sei. Die Stadtverwaltung nutzt die Software Microsoft Exchange. Diese E-Mail-Software wurde bundesweit gehackt. Schlimmeres konnte in der Verwaltung durch ein Antivirus-Programm verhindert werden. Betroffen sind alle E-Mail-Adressen – nicht nur innere Verwaltung, sondern ebenfalls alle öffentlichen Einrichtungen wie Schulen und Kindertagesstätten.
  • Stadt Hameln: Zum 10.3.2021 wird gemeldet, dass die Stadtverwaltung als Vorsichtsmaßnahme ihren Microsoft Exchange Server heruntergefahren habe, die Mitarbeiter sind nicht per E-Mail erreichbar.
  • Umweltbundesamt: Auf der Webseite der Behörde heißt es "Aus technischen Gründen ist das Umweltbundesamt bis auf Weiteres nicht mehr über seine dienstlichen E-Mail-Adressen erreichbar." SPON schreibt, dass es es mit dem Exchange-Hack zusammen hängt.

Danke an dieser Stelle an die Blog-Leser, die das hier im Blog als Kommentar gepostet haben. Weiterhin ist inzwischen bekannt, dass das norwegische Parlament Opfer des Exchange-Hacks geworden ist. Ich verweise auf die Artikel bei FAZ und bei Bleeping Computer zum Thema.

Mindestens 10 Hackergruppen fahren Angriffe

Von Palo Alto Networks liegt mir eine aktuelle Information von gestern Abend vor, dass mindesten 125.000 ungepatchte Exchange Server weltweit am Netz sind (die Zahl basiert auf den Telemetriedaten der Palo Alto Networks Expanse-Plattform). Die Top fünf Länder mit den meisten bestätigten verwundbaren Exchange-Servern sind laut Palo Alto:

  • USA: 33.000
  • Deutschland: 21.000 (das BSI spricht von 25.000)
  • Großbritannien: 7.900
  • Frankreich: 5.100
  • Italien: 4.600

Nachdem die Schwachstellen bekannt sind, springen auch Trittbrettfahrer auf die gesamte Geschichte auf. Mehrere Threat-Intelligence-Teams, einschließlich MSTIC und Unit 42 von Palo Alto Networks, beobachteten bereits mehrere Bedrohungsakteure, die diese Zero-Day-Schwachstellen jetzt in freier Wildbahn ausnutzen. Sicherheitsforscher von ESET haben diesen Artikel veröffentlicht, nach dem zehn Bedrohungsakteure die Schwachstellen in ungepatchten Exchange-Installationen für eigene Angriffe ausnutzen. Catalin Cimpanu, der kürzlich von ZDNet zu The Record gewechselt ist, thematisiert dies ebenfalls in diesem Artikel, und auch die Kollegen von Bleeping-Computer thematisieren das hier. Vor einigen Stunden ist mir auch die Meldung untergekommen, dass ein PoC im Internet herumgereicht wird. Die Angriffe werden noch zunehmen.

Schritte zur Behebung der Exchange-Schwachstellen

Palo Alto Networks hat mir folgende Hinweise zur Behebung der Microsoft Exchange Server-Schwachstellen zukommen lassen, die ich einfach mal hier wiedergebe. Die Leute empfiehlen  Unternehmen, das folgende Playbook zu befolgen, um auf diese potenzielle Bedrohung in ihren Umgebungen zu reagieren.

1) Alle Exchange Server lokalisieren und bestimmen, ob sie gepatcht werden müssen

Exchange Online ist nicht betroffen. Zu den anfälligen Exchange Server-Versionen gehören 2013, 2016 und 2019. Während Exchange 2010 nicht für die gleiche Angriffskette anfällig ist wie Exchange 2013/2016/2019, hat Microsoft für diese Version einen Patch für CVE-2021-26857 veröffentlicht. Microsoft hat kürzlich zusätzliche Hinweise für ältere, nicht unterstützte Versionen von Exchange veröffentlicht.

Microsoft hat Informationen zu den Updates für die folgenden spezifischen Versionen von Exchange Server veröffentlicht:

2) Patchen und Sichern aller Exchange Server

Unternehmen sollten die Out-of-Band-Sicherheitsupdates für ihre Version von Exchange Server installieren. Wenn sie einen Exchange Server nicht sofort aktualisieren und/oder patchen können, gibt es einige Abschwächungen und Umgehungen, die die Chancen eines Angreifers, einen Exchange Server auszunutzen, verringern können; diese Abschwächungen sollten nur vorübergehend sein, bis das Patchen abgeschlossen werden kann.

Palo Alto Networks Next-Generation Firewalls (NGFWs), die auf Threat Prevention Content Pack 8380 oder höher aktualisiert wurden, schützen vor diesen Schwachstellen, wenn die SSL-Entschlüsselung für den eingehenden Verkehr zum Exchange Server aktiviert ist. Cortex XDR, das auf dem Exchange Server ausgeführt wird, erkennt und verhindert Webshell-Aktivitäten, die häufig bei diesen Angriffen verwendet werden.

 

3) Feststellen, ob ein Exchange Server bereits kompromittiert wurde

Diese Schwachstellen sind bereits seit über einem Monat bekannt und werden aktiv ausgenutzt, wobei die ersten Hinweise auf eine Ausnutzung auf den 3. Januar zurückgehen. Jedes Unternehmen, das die anfällige Software einsetzt, muss prüfen, ob sein Server gefährdet ist. Das Patchen des Systems wird keine Malware entfernen, die bereits auf dem System installiert ist. Bis zum Beweis des Gegenteils sollte man davon ausgehen, dass Exchange Server, die Outlook Web Access oder Exchange Web Services dem Internet ausgesetzt haben, kompromittiert sind.

4) Einschalten eines Incident-Response-Teams bei Verdacht einer Kompromittierung

Wenn Unternehmen zu irgendeinem Zeitpunkt glauben, dass ihr Exchange Server kompromittiert wurde, sollten sie dennoch Maßnahmen ergreifen, um ihn gegen die oben beschriebenen Schwachstellen zu schützen. Dies wird verhindern, dass weitere Angreifer das System kompromittieren. Die Installation der Out-of-Band-Sicherheitsupdates für die jeweilige Version von Exchange Server ist sehr wichtig, aber dadurch wird keine bereits auf den Systemen installierte Malware entfernt und keine im Netzwerk vorhandenen Bedrohungsakteure werden vertrieben.

Unternehmen, die glauben, dass sie kompromittiert wurden, sollten ihren Incident-Response-Plan in Kraft setzen. Wenn Unternehmen solche Dienste benötigen, steht ihnen das Palo Alto Networks Crypsis Incident Response Team zur Verfügung (crypsis-investigations@paloaltonetworks.com). Sind zwar alles Allgemeinhinweise – aber vielleicht könnt ihr da noch was herausziehen (daher habe ich die Hinweise auf das Incident Response Team und die Firewalls von Palo Alto Networks drin gelassen).

Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe

  1. The6thDay sagt:

    Sehr unschön für alle die das MSERT Tool zum scannen Ihrer Exchange server verwenden, ist dass dieses Tool aktuell während dem scannen eines exchange Servers false positivs in der GUI anzeigt "Infected Files: 1" (natürlich während des scans nicht anzeigt was es da so gefunden hat) und dann am ende vermeldet dass es doch nichts gefunden hat(Sowohl in der GUI als auch im Logfile) Bei uns ein Exchange2016Cu19 aber wohl auch unter Exchange2019 wie andere bereits vermelden.

    Dies passiert auch wenn man damit den inhalt eines frisch von MS runtergeladene iso files vom Exchange Server 2016 CU19 scannt.

    (Microsoft Safety Scanner v1.333, (build 1.333.160.0))

    *nach einer mittleren Herzattake gesendet*

    https://imgur.com/qm2Hcjc

    https://imgur.com/F6O0QKC

    "
    Microsoft Safety Scanner v1.333, (build 1.333.160.0)
    Started On Thu Mar 11 12:20:20 2021

    Engine: 1.1.17900.7
    Signatures: 1.333.160.0
    MpGear: 1.1.16330.1
    Run Mode: Interactive Graphical Mode

    Results Summary:
    —————-
    No infection found.
    Successfully Submitted MAPS Report
    Successfully Submitted Heartbeat Report
    Microsoft Safety Scanner Finished On Thu Mar 11 12:25:55 2021
    Return code: 0 (0x0)
    "

    https://web.archive.org/web/20210311113816/https://old.reddit.com/r/exchangeserver/comments/lzjq4j/new_microsoft_safety_scanner_msert_updated_for/gqka3vp/

    • oli sagt:

      Problem bestätigt. Scanne auch gerade einen Exchange-Server, der alle anderen Scans (Eset AV, Test-Proxylogon.ps1, manuelle Sichtung relevanter Verzeichnisse) bestanden hatte, aber im MSERT gerade 1 infizierte Datei anzeigt.

      Danke für die Rückmeldung!

    • oli sagt:

      So, Scan fertig. C:\Windows\debug\msert.log ist nix drin und Scanner sagt zum Schluss alles ok. Beim Fullscan hat er bei mir sogar 4 Infektionen gefunden, allerdings hatte ich auch noch die beiden letzten CUs auf der Platte, die er auch mitgescannt hat.

      Also aus irgendeinem Grund wurde der Server verschont, obwohl Owa/Active-Sync/Ews/RPC/Autodiscover (ECP hab ich nicht weitergeleitet) per nginx Reverse Proxy freigegeben war. Sehr merkwürdig. Der Server ist nicht per MX-Eintrag im DNS hinterlegt, sondern nur als normaler Hostname. Mails werden dementsprechend per Pop-Connector abgeholt. Vorm Server läuft noch eine IPFire-Firewall mit aktiviertem IPS und Emerging Threat Rules. Glaube aber kaum, dass da was blockiert wurde. Gepatcht hatte ich am 04.03. als ich Günthers Warnung sah.

  2. ralf sagt:

    betroffen auch das paul-ehrlich-institut – WIKIPEDIA: "zuständig für die Zulassung und staatliche Chargenfreigabe von Geräten der Medizintechnik, Impfstoffen und biomedizinischen Arzneimitteln".

    https://www.spiegel.de/netzwelt/web/microsoft-schwachstelle-impfstoff-experten-vom-paul-ehrlich-institut-betroffen-a-8e3a428f-2a36-4297-98d6-c4d82c461d24

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.