Exchange und ProxyShell: Neues von Microsoft und Sicherheitsspezialisten

Publiziert am 26. August 2021 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Über Angriffe auf ungepatchte on-premises Exchange Server mittels der ProxyShell-Methode hatte ich im Blog ja mehrfach berichtet. Nun hat sich Microsoft in einem Beitrag dazu geäußert und gibt an, welches Systeme gefährdet sind. Zudem liegen mir weitere Informationen von HurricaneLabs vor, wonach Administratoren im Hinblick auf eine Infektion Ausschau halten sollten. Daher nochmals eine Zusammenfassung des Sachstands.

Anzeige

Angriffe per ProxyShell-Schwachstelle

Der taiwanesische Sicherheitsforscher Orange Tsai vom DEVCORE-Team hat Anfang Augst auf der BlackHat 2021 einen Vortrag über Exchange-Schwachstellen gehalten (siehe mein Blog-Beitrag Exchange-Schwachstellen: Droht Hafnium II?). Dabei zeigte er, wie durch Kombination alter Schwachstellen (z.B. CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207), die im April 2021 durch Updates geschlossen wurden, Microsoft Exchange-Server über ProxyLogon, ProxyOracle und ProxyShell genannte Exploits angegriffen und übernommen werden können.

Die Empfehlung lautete, die On-Premises Exchange-Server auf den aktuellen Patchstand zu bringen und dafür zu sorgen, dass diese nicht per Internet erreichbar sind (siehe auch Exchange Server: Neues zu den ProxyShell-Schwachstellen). Bereits im Blog-Beitrag Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021) hatte ich dann auf beginnende Angriffe hingewiesen. Der letzte Sachstand ist, dass vor dem letzten Wochenende fast 2.000 Exchange-Server erfolgreich angegriffen wurden (siehe Angriffswelle, fast 2.000 Exchange-Server über ProxyShell gehackt). Microsofts Antivirus-Tools können zwar einige Schadprogramme erkennen. Im Blog-Beitrag ProxyShell, ProxyLogon und Microsofts Exchange-Doku für Ausnahmen vom Virenschutz hatte ich aber darauf hingewiesen, dass Microsofts Empfehlungen viele Exchange-Ordner von einem Scan ausnehmen.

Microsoft äußert sich zu ProxyShell

Microsoft hat sich ja lange nicht zu obiger Thematik geäußert. Sicherheitsforscher Kevin Beaumont hat dies in einer Serien von Tweets aufgegriffen.

Anzeige

Problem ist wohl, dass eine Reihe Exchange Server von Suchmaschinen als angreifbar ausgeworfen werden, obwohl sie nicht über ProxyShell angreifbar sind. Hier ist es gut, dass Microsoft im Techcommunity-Beitrag ProxyShell vulnerabilities and your Exchange Server eine klare Aussage trifft.

  • Wer die Sicherheitsupdates vom Mai 2021 oder vom Juli 2021 auf seinen Exchange-Servern installiert hat, ist vor diesen Sicherheitslücken geschützt.
  • Exchange Online-Kunden sind ebenfalls geschützt (müssen aber sicherstellen, dass alle hybriden Exchange-Server aktualisiert worden sind).

Exchange-Server, die eines der nachfolgenden Kriterien erfüllen, sind dagegen gefährdet und möglicherweise bereits infiziert.

  • Auf dem Server wird eine ältere, nicht unterstützte CU ausgeführt;
  • Auf dem Server werden Sicherheitsupdates für ältere, nicht unterstützte Versionen von Exchange ausgeführt, die im März 2021 veröffentlicht wurden;
  • oder: Auf dem Server wird eine ältere, nicht unterstützte CU ausgeführt, auf die die EOMT-Sicherheitsmaßnahmen vom März 2021 angewendet wurden.

Microsoft gibt an, dass in allen oben genannten Szenarien eine der neuesten unterstützten CUs und alle anwendbaren SUs zu installieren sind, um geschützt zu sein. Alle Exchange-Server, die nicht über eine unterstützte CU und die neueste verfügbare SU verfügen, sind anfällig für ProxyShell und andere Angriffe, die ältere Schwachstellen ausnutzen. Wer feststellt, dass er jetzt noch patchen muss, hat nach der Update-Installation aber nur die halbe Miete – der Exchange Server kann längst mit einer Backdoor in Form einer WebShell versehen sein.

Ich hatte es ja hier im Blog bereits erwähnt – und dieser Artikel thematisiert es erneut. Die LockFile Ransomware zielt bereits auf die ProxyShell-Schwachstelle in Microsoft Exchange-Servern. Und die Angreifer verwenden die PetitPotam-Schwachstelle in Windows für Angriffe.

Und gerade bin ich über diesen Tweet auf eine weitere Exchange-Schwachstelle aufmerksam geworden. Anlässlich der Pwn2Own 2021 in Vancouver berichtet jemand über eine neue Microsoft Exchange Server Remote Code Execution-Schwachstelle. Diese benötigt aber einen Man-in-the-middle-Angriffe, um wirksam zu werden.

Infektionen auf Exchange-Servern finden

Von HurricaneLabs gibt es ebenfalls einen Sicherheitshinweis zur ProxyShell-Schwachstelle, auf die ich über nachfolgenden Tweet aufmerksam wurde. Den Artikel fand ich interessant, weil die Autoren konkret angeben, wonach Administratoren schauen können, um Anzeichen einer Kompromittierung des Exchange-Servers zu erkennen. Vielleicht für den einen oder anderen Administrator hilfreich.

Detect ProxyShell infections on Exchange Servers

Florian Roth weist in diesem Tweet darauf hin, dass er neue YARA -Regeln zur Erkennung von Angriffen veröffentlicht habe.

Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren
Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben
Sicherheitsupdate für Exchange Server 2013 Service Pack 1 – Neue CUs für Exchange 2019 und 2016 (16.3.2021)
Microsoft Defender schließt automatisch CVE-2021-26855 auf Exchange Server
Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)
Neues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
Sicherheitsupdates für Exchange Server (Juli 2021)
Kumulative Exchange Updates Juni 2021 veröffentlicht
Exchange Server Security Update KB5001779 (13. April 2021)
Exchange-Schwachstellen: Droht Hafnium II?
Exchange Server: Neues zu den ProxyShell-Schwachstellen
Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)
Angriffswelle, fast 2.000 Exchange-Server über ProxyShell gehackt
ProxyShell, ProxyLogon und Microsofts Exchange-Doku für Ausnahmen vom Virenschutz

Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.