Warnung: ProxyShell, Squirrelwaffle und ein PoC-Exploit, patcht endlich eure Exchange-Server

Sicherheit (Pexels, allgemeine Nutzung)[English]Wie oft denn noch? Aktuell warne ich fast im Tagesrhythmus vor dem Betrieb ungepatchter Exchange-Schwachstellen und ProxyShell-Angriffen. Vor einigen Tagen hat Trend Micro eine Warnung vor Angriffen auf die ProxyShell-Schwachstellen über den Squirrelwaffle-Exploit und der Übernahme der Exchange-E-Mail-Postfächer gewarnt. Seit wenigen Stunden ist ein weitere Exploit als Proof of Concept öffentlich, die Ausnutzung gegen ungepatchte Exchange-Server ist wahrscheinlich. Patcht also endlich die Systeme.


Anzeige

Die ProxyShell-Schwachstellen

Cyber-Angreifer verwenden seit Monaten drei bekannte und unter dem Namen ProxyShell fungierende Schwachstellen in Microsofts Exchange Server 2013, 2016 und 2019, für die es bereits seit Monaten Updates gibt:

  • CVE-2021-34473: Eine kritische Sicherheitsanfälligkeit für Remotecodeausführung, für deren Ausnutzung keine Benutzeraktion oder -rechte erforderlich sind;
  • CVE-2021-34523: Eine Sicherheitsanfälligkeit zur Erhöhung von Berechtigungen nach der Authentifizierung;
  • CVE-2021-31207: Ein mittelschwerer Fehler nach der Authentifizierung, der Angreifern die Möglichkeit bietet, auf anfälligen Systemen administrativen Zugriff zu erlangen.

Microsoft hat die Schwachstellen im April und Mai 2021 behoben, und im Juli 2021 auch entsprechende CVEs zugewiesen, sowie Sicherheitsupdates veröffentlicht. Seit diesem Zeitpunkt gab (auch hier im Blog, siehe Linkliste am Artikelende) zahlreiche Warnungen, dass die Sicherheitslücken ausgenutzt wurden. Die Sicherheitsforscher des Anbieters Mandiant sind im November 2021 auf ca 30.000 per Internet erreichbarer Exchange Server gestoßen, die nicht gepatcht und damit weiterhin anfällig für diese Angriffe sind. Inzwischen gibt es die Warnung, dass die ProxyShell-Schwachstellen über neue Angriffsvarianten missbraucht werden (siehe ProxyNoShell: Mandiant warnt vor neuen Angriffsmethoden auf Exchange-Server (Nov. 2021)).

Trend Micro warnt vor Squirrelwaffle-Exploit

Letzten Freitag hat Trend Micro in seinem Blog den Beitrag Squirrelwaffle Exploits ProxyShell and ProxyLogon to Hijack Email Chains veröffentlicht, in dem es um einen neuen Exploit für die ProyShell-Schwachstellen in Exchange geht. Im September tauchte Squirrelwaffle als neuer Loader auf, um angreifbare Exchange-Server über die Schwachstellen zu infizieren. Der Loader wird über Spam-Kampagnen verbreitet und ist dafür bekannt, dass er seine bösartigen E-Mails als Antworten auf bereits bestehende E-Mail-Ketten versendet. Dies ist eine Taktik, die den Schutz der Opfers vor bösartigen Aktivitäten herabsetzt (die Empfänger vertrauen den bekannten Absendern).

Die Sicherheitsforscher gehen davon aus, dass die Angreifer eine Kette von ProxyLogon- und ProxyShell-Exploits verwendem, um diese Angriffe zu bewerkstelligen. Hintergrund ist, dass alle beobachteten und dann später von Trend Micro im Nahen Osten untersuchten Angriffe über per Squirrelwaffle gehackten Exchange-Server gegen ProxyLogon- und ProxyShell-Schwachstellen verwundbar waren. In ihrem Blog.Beitrag beleuchten die Sicherheitsforscher diese anfänglichen Zugriffstechniken und die frühen Phasen der Squirrelwaffle-Kampagnen genauer – auf die Details brauche ich nicht einzugehen.


Anzeige

Neuer Proof of Concept Exploit

Im November 2021 gab es ja weitere Sicherheitsupdates für die letzten Exchange CUs, in denen eines Remote Code Execution-Schwachstelle geschlossen wurde (siehe Exchange Server November 2021 Sicherheitsupdates schließen RCE-Schwachstelle CVE-2021-423). Zwei Wochen später, am Sonntag, den 21.11.2021, hat der Sicherheitsforscher Janggggg (@testanull) aus Vietnam einen Proof of Concept Exchange Post-Auth RCE-Exploit veröffentlicht – siehe folgender Tweet.

Exchange PoC

Der Exploit startet zur Demo MSPaint auf den angreifbaren Systemen mit Exchange Server 2016 und 2019. Frank Zöchling hat es hier auf Deutsch angesprochen (bitte den Artikel lesen, da Frank auf einige Implikationen eingeht, die erfahrene Exchange-Administratoren aber kennen), und die Kollegen von Bleeping Computer haben diesen Artikel zum Sachverhalt publiziert. Microsoft bestätigt, dass man eine begrenzte Anzahl an Angriffen über die Schwachstellen beobachtet. Es ist also an der Zeit, seine Exchange-Server nochmals zu überprüfen, ob diese gepatcht sind. Kann ggf. mit dem Exchange Server Health Checker-Script erfolgen.

Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren
Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben
Sicherheitsupdate für Exchange Server 2013 Service Pack 1 – Neue CUs für Exchange 2019 und 2016 (16.3.2021)
Microsoft Defender schließt automatisch CVE-2021-26855 auf Exchange Server
Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)
Neues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
Sicherheitsupdates für Exchange Server (Juli 2021)
Kumulative Exchange Updates Juni 2021 veröffentlicht
Exchange Server Security Update KB5001779 (13. April 2021)
Exchange-Schwachstellen: Droht Hafnium II?
Exchange Server: Neues zu den ProxyShell-Schwachstellen
Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)
Angriffswelle, fast 2.000 Exchange-Server über ProxyShell gehackt
ProxyShell, ProxyLogon und Microsofts Exchange-Doku für Ausnahmen vom Virenschutz
Exchange und ProxyShell: Neues von Microsoft und Sicherheitsspezialisten
Tianfu Cup 2021: Exchange 2019 und iPhone gehackt
Babuk-Gang nutzt ProxyShell-Schwachstelle in Exchange für Ransomware-Angriffe
Exchange Server November 2021 Sicherheitsupdates schließen RCE-Schwachstelle CVE-2021-423
BSI/CERT-Warnung: Kompromittierte Exchange-Server werden für E-Mail-Angriffe missbraucht (Nov. 2021)
Warnung (CERT-Bund, USA, GB) vor Angriffen auf Exchange und Fortinet
ProxyNoShell: Mandiant warnt vor neuen Angriffsmethoden auf Exchange-Server (Nov. 2021)


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Warnung: ProxyShell, Squirrelwaffle und ein PoC-Exploit, patcht endlich eure Exchange-Server

  1. Timo sagt:

    Manch ein Admin lernt nur auf die harte Tour

  2. KlausB. sagt:

    Ich kann es auch bald nicht mehr hören. Ob es da Querpatcher gibt? Exchange patchen hat ja schließlich Spätfolgen, gerade die, die speziell für allseite bekannte Exchange-Bugs geschrieben sind. Vielleicht krümeln einige Leute auch Vitamin C in den Server. Ich vermisse die Anti-Exchange-Patch-Demos, oder finden die auf Fakebook statt?
    Großer Seufzer – Herr, schmeiss Hirn runter!

  3. Anonymous sagt:

    bzw die Geschäftsführung die bei der IT spart

  4. Johnny B. sagt:

    Die Leser von diesem Blog muss man ganz sicher nicht zum Patchen der Server ermahnen.

    Was wir immer wieder sehen: Kleine Firmen haben sich vom Freund des Bruders der Frau des Geschäftsführers vor 10 Jahren einen SBS installieren lassen der bis heute sein Werk verrichtet. Der wurde noch nie gepatched aber läuft bis heute "tadellos". Und so versendet er fröhlich Spam in alle Welt.

  5. StefanP sagt:

    Auf unserem Mail Server (Kein Exchange) sehen wir in den letzten Tagen deutlich höheren Traffic. Immer wieder auch einzelne Server, von denen Hunderte Mails pro Tag eingehen bzw. die entsprechend oft Verbindungsversuche starten und dann blockiert werden.
    Könnten gekaperte Exchange Server sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.