[English]Die erste Welle des Massenhacks verwundbarer Exchange Server vor Freigabe der Patches wirft Fragen auf. Zumal der wohl benutzt Exploit-Code sehr große Ähnlichkeiten mit einem PoC aufwies, den Microsoft eine Woche vorher an Partner verteilt hatte. Microsoft untersucht nun, ob da irgend ein Leck oder ein U-Boot verantwortlich sein kann.
Anzeige
Zeitliche Abfolge wirft Fragen auf
Als Microsoft am 2./3. März 2021 seine außerplanmäßigen Updates zum Schließen von vier 0-day Schwachstellen verteilte (siehe Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!), war der Drops im Grunde bereits gelutscht. Ich habe mir ja mal die Mühe gemacht, die zeitliche Abfolge der Schwachstellen und die der Hafnium-Gruppe zugeschriebenen Angriffe aufzuschreiben (siehe Anatomie des ProxyLogon Hafinum-Exchange Server Hacks).
- 5. Januar 2021: DEVCORE-Sicherheitsforscher melden ein Proof of Concept (PoC) an Microsoft
- 6. Januar 2021: Volexity-Sicherheitsforscher beobachten Angriffe auf Exchange Server über eine damals unbekannte Schwachstelle
- 26./27. Februar 2021: Erste Massenscans mit Angriffen auf Exchange Server
- 2./3. März 2021: Microsoft gibt das außerplanmäßige Update für Exchange Server zum Schließen von vier 0-day-Schwachstellen frei
Stunden später starten Massenscans, bei denen weltweit hunderttausende Exchange Server mit einer Webshell als Backdoor infiziert werden. Da kommen eigentlich jedem Beobachter Fragen, ob da alles mit rechten Dingen zugeht. Mein Redakteur Jürgen Schmidt bei heise sieht in dieser Analyse den Punkt, wo Militärs wohl ihre Muskeln in Sachen Cyber-Abschreckungsspirale spielen lassen, und ihre Fähigkeiten demonstrieren. Ist nicht ausgeschlossen, zumal der SolarWinds-Hack ähnliches offenbart und die USA wohl so etwas wie Gegenschläge planen. Aber wieso gibt es diese zeitliche Nähe zu bestimmten Ereignissen.
Gibt es ein Leck bei Microsoft?
Das Wallstreet Journal (WSJ) kommt jetzt mit einer Meldung, die einerseits aufhorchen lässt, andererseits aber zu erwarten war. Microsoft untersucht nämlich, ob es ein Leck gab, dass beim mutmaßlichen chinesischen Hack der Hafnium-Gruppe eine Rolle gespielt hat. Dabei versuchen die Ermittler herauszufinden, wie sich der massenhafte Angriff eine Woche vor dem Software-Fix einordnen lässt.
Microsoft Active Protections Program (Mapp)
Es gibt von Microsoft seit 2008 das Microsoft Active Protections Program (Mapp) zum Informationsaustausch zwischen verschiedenen Sicherheitsfirmen. Ziel ist es, Sicherheitsunternehmen einen Vorsprung bei der Erkennung neuer Bedrohungen zu verschaffen. Mapp umfasst etwa 80 Sicherheitsunternehmen weltweit, von denen etwa 10 in China ansässig sind.
Anzeige
Proof of Concept von Microsoft am 23. Februar 2021
Quellen, die mit dem Mapp-Programm vertraut sind, haben dem Wallstreet Journal nun wohl gesteckt, dass einige der Mapp-Partner am 23. Februar die Microsoft-Benachrichtigung über die Schwachstellen in Exchange erhielt. Mit dabei war auch ein Proof-of-Concept-Code (PoC). Als am 26./27. Februar 2021 erste Massenscans starteten, wurde nahezu der gleiche Code für den Exploit auf die Exchange-Schwachstellen benutzt. Das WSJ dazu:
Some of the tools used in the second wave of the attack, which is believed to have begun Feb. 28, bear similarities to "proof-of-concept" attack code that Microsoft distributed to antivirus companies and other security partners Feb. 23, investigators at security companies say. Microsoft had planned to release its security fixes two weeks later, on March 9, but after the second wave began it pushed out the patches a week early, on March 2, according to researchers.
Es wird dort zwar der 28. Februar 2021 genannt (ich hatte 26./27. Februar aufgelistet). Fakt ist aber, dass diese Massenscans das Vorziehen der Freigabe der Sicherheitsupdates vom 9. auf den 2. März 2021 bewirkten. Und die Ähnlichkeit des benutzten Codes wirft die Frage auf, ob da die Angreifer schlicht ihre Augen und Ohren bei einem Teilnehmer des Mapp-Programms hatten. Microsoft verweigert jeden Kommentar – speziell, ob chinesische Partner im Programm verdächtigt werden. Bekannt ist, dass Microsoft keine Anzeichen für ein internes Leck gefunden hat.
Gizmodo schreibt hier, dass Microsoft 2012 die Hangzhou DPTech Technologies, einen in China ansässigen Anbieter von Sicherheitssoftware, aus dem MAPP-Programm geworfen habe. Damals ließ das Unternehmen Proof-of-Concept-Code durchsickern, der für einen potenziellen Cyberangriff verwendet werden könnte, und verstieß damit gegen die Geheimhaltungsvereinbarung.
Es wird gepatcht, aber es ist zu spät
Aktuell lassen sich die Folgen noch überhaupt nicht absehen. Ich hatte im Blog-Beitrag Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe berichtet, dass aktuell 282.900 Exchange Server per Internet erreichbar sind. Viele dieser Instanzen werden von spyse.com aber als abgesichert aufgelistet (ohne Konto kann ich aber wenig Details sehen). Von Palo Alto Networks gibt es gut gute Nachrichten – in einer Information von Freitag Nachmittag heißt es, dass sich die Patch-Situation bei Exchange-Instanzen verbessert.
Die Anzahl der anfälligen Server, auf denen alte Versionen von Exchange ausgeführt werden, auf denen die kürzlich veröffentlichten Sicherheitspatches nicht direkt angewendet werden können, ist laut Expanse-Internet-Scans vom 8. und 11. März um über 30% von geschätzten 125.000 auf 80.000 gesunken.
Palo Alto Networks verwendete seine Networks Expanse-Plattform zur Datensammlung, um im Internet exponierte Server zu identifizieren, auf denen alte Versionen von Exchange ausgeführt werden, auf denen der kürzlich veröffentlichte Sicherheitspatch für die Zero-Day-Sicherheitslücken nicht direkt angewendet werden kann. Matt Kraning, Chief Technology Officer von Cortex bei Palo Alto Networks sagt dazu:
Ich habe noch nie gesehen, dass die Sicherheitspatch-Raten für ein System so hoch sind, geschweige denn für ein System, das so weit verbreitet ist wie Microsoft Exchange. Wir fordern Unternehmen, die alle Versionen von Exchange ausführen, dringend auf, davon auszugehen, dass sie kompromittiert wurden, bevor sie ihre Systeme gepatcht haben, da wir wissen, dass Angreifer diese Zero-Day-Sicherheitslücken mindestens zwei Monate lang in freier Wildbahn ausnutzten, bevor Microsoft die Patches am 2. März veröffentlichte.
Ich habe mal in folgender Tabelle die Zahl der verwundbaren Exchange-Servern laut Palo Alto gegenüber gestellt.
8.3.2021 (siehe) | 11.3.2021 (Quelle: Palo Alto Mail) |
|
|
Palo Alto hat sich auch mit den Zeitabläufen (die ich hier im Blog dokumentiert habe) befasst, und schreibt, dass sowohl die Schwachstellen selbst als auch der Zugriff, der durch deren Ausnutzung erreicht werden kann, erheblich seien. Es sei daher nicht überraschend, dass mehrere Angreifer versuchten und weiterhin versuchen, anfällige Systeme zu kompromittieren, bevor diese von Netzwerkadministratoren gepatcht werden. Diese Angriffe geschahen in einem noch nie dagewesenen Ausmaß, wie wir inzwischen wissen.
Anhand der rekonstruierten Zeitachse – deren Analyse ist hier abrufbar – ist nun klar, dass zwischen der ersten bekannten Ausnutzung dieser Schwachstelle am 3. Januar (dieses Datum ist neu für mich) und der Veröffentlichung des Patches durch Microsoft am 2. März mindestens 58 Tage lagen. Das Aufspielen des Patches ist ein notwendiger erster Schritt, angesichts der langen Zeit, die die Schwachstelle in der freien Wildbahn ausgenutzt wurde, aber nicht ausreichend. Das Aufspielen des Patches beseitigt nicht den Zugang, den Angreifer möglicherweise bereits zu anfälligen Systemen erlangt haben. Unternehmen können sich im Leitfaden für Abhilfemaßnahmen der Palo Alto Unit 42 über die nötigen Schritte informieren, um sicherzustellen, dass sie ihre Exchange Server ordnungsgemäß abgesichert haben.
In der zweiten Woche nach Bekanntwerden der Schwachstellen gibt es erste Schätzungen, dass die Zahl der betroffenen Unternehmen in die Zehntausende geht. Dies stellt damit die Auswirkungen des jüngsten SolarStorm-Angriffs auf die Lieferkette in Bezug auf die Zahl der Opfer und die geschätzten Kosten für die Beseitigung der Schwachstellen weltweit in den Schatten.
Laufende Untersuchungen zeigen, dass diese Schwachstellen von mehreren Bedrohungsgruppen ausgenutzt werden. Es ist nicht neu, dass hochqualifizierte Angreifer neue Schwachstellen in verschiedenen Produkt-Ökosystemen ausnutzen. Die Art und Weise, wie diese Angriffe durchgeführt werden, um die Authentifizierung zu umgehen und damit unberechtigten Zugriff auf E-Mails zu erhalten und Remote Code Execution (RCE) zu ermöglichen, ist jedoch besonders perfide, meint Palo Alto.
Unit 42 geht davon aus, dass die Angriffe, die diese Schwachstellen ausnutzen, sich nicht nur fortsetzen, sondern auch an Umfang zunehmen werden. Dies wird sich wahrscheinlich auch in vielfältigeren Angriffen mit unterschiedlichen Motiven äußern, wie etwa die Infektion und/oder Verteilung von Ransomware. Aufgrund der Tatsache, dass aktive Angriffe verschiedener Bedrohungsgruppen, die diese Schwachstellen ausnutzen, andauern, ist es zwingend erforderlich, die betroffenen Systeme nicht nur zu patchen, sondern auch die Anleitungen hier zu befolgen. Ich denke, das Thema bleibt spannend.
Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren
Anzeige
Ich überlege mir schon die ganze Zeit, ob auch der Source Code Leak beim Solarwindshack eine Rolle spielt. In einem Bericht von Reuters wird erwähnt, dass Hacker wohl auch den Source Code von Exchange studiert haben. Also mich würde es auch nicht wundern, wenn wir IT-Admins in nächster Zeit verstärkt angewiesen sind direkt am Patchday dir Updates auszurollen.
Ging mir im Kopf herum, ich meine mich zu erinnern, dass es Exchange Online-Code war, der auf "unkritischen" Repositories herum lag (kein Produktivcode, meines Wissens). Wobei ich bei Solarigate eher daran dachte, dass die Angreifer irgendwelche Mails bei MS abgegriffen haben.
Zweiter Gedanke: Der taiwanesische Sicherheitsforscher, der die ersten Schwachstellen entdeckte, hat am 6. Januar einen kryptischen Tweet abgesetzt, der im nachhinein im aktuellen Kontext als Puzzleteil ins Bild fällt. Wenn eine state sponsored Hackergruppe im Bilde, ist, was ein Sicherheitsforscher publiziert und wo er dran arbeitet, lassen sich schnell Schlüsse ziehen.
Aber der springende Punkt ist im aktuellen Kontext wohl die Nähe des Exploit-Codes zum einige Tage vorher in MAPS verteilten PoC-Code.
die Patches für die älteren CUs sind jetzt auch per WSUS verfügbar
Wenn tatsächlich ein Microsoft-Partner den PoC-Code durchsickern lassen hat, was wahrscheinlich ist, da erste Hackergruppen schon einige Tage vor Patchveröffentlichung mit Massenhacks begannen, siehe https://web.archive.org/web/20220810043533/https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/ , das macht sehr ratlos. Wie ich schon drüben bei Heise schrieb, auf der einen Seite sind da Admins, die mit der Maus die Attacken abwehren müssen, während staatliche Hacker ala Hafnium mit der Bazooka feuern. Ein sehr ungleicher Kampf. Beim Solarwinds-Hack sagt ja MS auch, dass da mindestens 1000 Personen an dem Hack beteiligt sein sollen. Dabei will ich als Admin garnicht kämpfen, sonst hätte ich ja Berufssoldat werden können.
Am Montag werde ich nochmal den welievesecurity-Artikel durchackern, da sind offensichtlich noch zusätzliche IP-Adressen und Domainnamen, mit denen ich die Sperrliste unserer Firewall füttern muss. Auch für Angriffe abseits von Exchange.
> Am Montag werde ich nochmal den …
Ja, das wird reichen. An Wochenenden arbeiten Hacker nicht und werden auch werktags die Höchstarbeits- und Ruhezeiten beachten. Somit hast Du genug Zeit, das alles in Ruhe abzusichern.