[English]Cyber-Angreifer verwenden seit Monaten drei bekannte Schwachstellen in Microsofts Exchange Servern, für die es bereits seit Monaten Updates gibt. Trotzdem sind um die 30.000 Microsoft Exchange Sever per Internet erreichbar, die über diese Schwachstellen angreifbar sind. Sicherheitsforscher haben jetzt eine Warnung herausgegeben, weil Cyber-Kriminelle ihre Taktik geändert haben, um durch Ausnutzung von drei Sicherheitslücken in lokalen Microsoft Exchange-Servern, die unter dem Namen ProxyShell zusammengefasst wurden, Systeme anzugreifen und dort schwer erkennbare WebShells zu installieren.
Anzeige
Die ProxyShell-Schwachstellen
Bei ProxyShell handelt es sich um eine Kombination von drei Sicherheitslücken in Microsoft Exchange Server:
- CVE-2021-34473: Eine kritische Sicherheitsanfälligkeit für Remotecodeausführung, für deren Ausnutzung keine Benutzeraktion oder -rechte erforderlich sind;
- CVE-2021-34523: Eine Sicherheitsanfälligkeit zur Erhöhung von Berechtigungen nach der Authentifizierung;
- CVE-2021-31207: Ein mittelschwerer Fehler nach der Authentifizierung, der Angreifern die Möglichkeit bietet, auf anfälligen Systemen administrativen Zugriff zu erlangen.
Die Sicherheitslücken sind in Exchange Server 2013, 2016 und 2019 vorhanden, aber es gibt Sicherheitsupdates. Microsoft hat die Schwachstellen im April und Mai behoben, und im Juli 2021 auch entsprechende CVEs zugewiesen. Gleichzeitig wurden die betreffenden Sicherheitsupdates veröffentlicht. Zudem gab es in der Zwischenzeit zahlreiche Warnungen, dass die Sicherheitslücken ausgenutzt wurden.
Eigentlich sollte das Thema zwischenzeitlich in trockenen Tüchern sein. Aber die Sicherheitsforscher des Anbieters Mandiant sind im November 2021 auf ca 30.000 per Internet erreichbarer Exchange Server gestoßen, die nicht gepatcht und damit weiterhin anfällig für diese Angriffe sind.
Neue ProxyShell-Angriffstaktiken
Nun haben die Sicherheitsforscher von Mandiant kürzlich neue Angriffstaktiken zur Ausnutzung der ProxyShell-Schwachstellen beobachtet und die Tage den Blog-Beitrag ProxyNoShell: A Change in Tactics Exploiting ProxyShell Vulnerabilities veröffentlicht. Ich bin über nachfolgenden Tweet auf diesen Bericht gestoßen.
Anzeige
Das Ganze ist möglicherweise eine Reaktion der Cyber-Kriminellen, die darauf reagieren müssen, dass Anbieter von Antiviren- und Endpoint Detection and Response (EDR) Lösungen schnell Erkennungsfunktionen für Web-Shells entwickelt haben, die über den Postfächerexport erstellt werden. Joshua Goddard von Mandiant meint, dass die Angreifer wahrscheinlich dazu veranlasst habe, nach neuen Wegen zu suchen, um ungepatchte Exchange Server-Systeme über die ProxyShell-Schwachstellen anzugreifen.
Bei mehreren kürzlich durchgeführten Incident-Response-Einsätzen beobachtete Mandiant, dass Bedrohungsakteure die Schwachstellen auf andere Weise ausnutzen als zuvor bekannt.
- Bisher wurden Postfachexporte und die Ausnutzung der ersten beiden Schwachstellen in der Exploit-Kette zur Installation einer WebShell benutzt.
- Nun werden die WebShells über den Export von Exchange-Zertifikatsanforderungen auf den angreifbaren Zielsystemen installiert.
Ist eine WebShell erfolgreich installiert, können die Angreifer Remote-PowerShell verwenden, um neue Postfächer zu erstellen, ihnen privilegierten Zugriff auf andere Postfächer zuzuweisen und dann über Outlook Web Access (OWA) auf sie zuzugreifen. Mandiant hat sich daher entschlossen, diese Änderungen in der Taktik öffentlich zu machen. Denn die bisher veröffentlichten Erkennungs- und Reaktionsanweisungen konzentrierten sich ausschließlich auf Web-Shells, die aus dem Postfächerexport stammen.
Im Mandiant Blog-Beitrag ist im Detail beschrieben, welche Angriffspfade neuerdings verwendet werden, um WebShells zu installieren und Exchange-Postfächer zu kompromittieren. Gerade vor wenigen Tagen hatte ich im Blog-Beitrag BSI/CERT-Warnung: Kompromittierte Exchange-Server werden für E-Mail-Angriffe missbraucht (Nov. 2021) eine Warnung des BSI zu kompromittierten Exchange-Servern veröffentlicht, die für E-Mail-Angriffe missbraucht werden. Mandiant gibt im Blog-Beitrag Hinweise, wie sich Exchange Server sowohl überwachen als auch auf eine erfolgreiche Kompromittierung untersucht lassen. Vielleicht sind die Hinweise für Exchange-Administratoren hilfreich.
Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren
Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben
Sicherheitsupdate für Exchange Server 2013 Service Pack 1 – Neue CUs für Exchange 2019 und 2016 (16.3.2021)
Microsoft Defender schließt automatisch CVE-2021-26855 auf Exchange Server
Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)
Neues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
Sicherheitsupdates für Exchange Server (Juli 2021)
Kumulative Exchange Updates Juni 2021 veröffentlicht
Exchange Server Security Update KB5001779 (13. April 2021)
Exchange-Schwachstellen: Droht Hafnium II?
Exchange Server: Neues zu den ProxyShell-Schwachstellen
Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)
Angriffswelle, fast 2.000 Exchange-Server über ProxyShell gehackt
ProxyShell, ProxyLogon und Microsofts Exchange-Doku für Ausnahmen vom Virenschutz
Exchange und ProxyShell: Neues von Microsoft und Sicherheitsspezialisten
Tianfu Cup 2021: Exchange 2019 und iPhone gehackt
Babuk-Gang nutzt ProxyShell-Schwachstelle in Exchange für Ransomware-Angriffe
Exchange Server November 2021 Sicherheitsupdates schließen RCE-Schwachstelle CVE-2021-423
BSI/CERT-Warnung: Kompromittierte Exchange-Server werden für E-Mail-Angriffe missbraucht (Nov. 2021)
Warnung (CERT-Bund, USA, GB) vor Angriffen auf Exchange und Fortinet
Anzeige