{"id":251196,"date":"2021-03-18T19:42:15","date_gmt":"2021-03-18T18:42:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=251196"},"modified":"2021-03-19T00:01:17","modified_gmt":"2021-03-18T23:01:17","slug":"exchange-proxylogon-news-patchstand-neuer-poc-und-neue-erkenntnisse-18-3-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/03\/18\/exchange-proxylogon-news-patchstand-neuer-poc-und-neue-erkenntnisse-18-3-2021\/","title":{"rendered":"Exchange ProxyLogon-News: Patchstand, neuer PoC und neue Erkenntnisse (18.3.2021)"},"content":{"rendered":"

[English<\/a>]Bez\u00fcglich der Exchange ProxyLogon-Schwachstellen gibt es ein \u00f6ffentlich verf\u00fcgbares Proof of Concept (PoC), mit neuen Angriffen ist also zu rechnen. Das Patchen und Absichern kommt langsam voran. Microsofts Pr\u00fcfscripte sollten aktuell gehalten werden, sonst scheitern die Tests. Und es gibt neue Indicator of Compromise (IoC) f\u00fcr Angriffe auf Exchange Server.<\/p>\n

<\/p>\n

\u00d6ffentlich verf\u00fcgbarer Exploit<\/h2>\n

\"\"Vor einigen Tagen ist mir bereits der nachfolgende Tweet<\/a> unter die Augen gekommen. Es gibt einen funktionalen Exploit, um \u00fcber die Schwachstelle\u00a0 CVE-2021-26855 E-Mails aus Postf\u00e4chern von OWA-Instanzen herunterzuladen.<\/p>\n

\"Exchange<\/a><\/p>\n

Das Ganze ist in Python geschrieben und \u00fcber GitHub abrufbar. Es ist also nur eine Frage der Zeit, bis Script-Kiddies so etwas ausnutzen. Die Kollegen von Bleeping Computer haben die Tage diesen Beitrag<\/a> zum Thema ver\u00f6ffentlicht.<\/p>\n

Details zur DearCry-Ransomware<\/h2>\n

Auch von Palo Alto Networks habe ich die Information, dass die Schwachstellen zunehmend von Cyber-Kriminellen ausgenutzt werden. Mit der hier im Blog bereits erw\u00e4hnten DearCry-Ransomware versuchen die Cyber-Kriminellen Firmen mit verwundbaren Exchange-Servern zu erpressen. DearCry ist eine neue Ransomware-Variante, bei der beobachtet wurde, dass sie die ProxyLogon-Schwachstellen von Microsoft Exchange-Servern f\u00fcr den Erstzugriff ausnutzt. Erste Berichte \u00fcber das Auftauchen von DearCry-Erpresserbriefen in Verbindung mit der Kompromittierung von Microsoft Exchange Servern \u00fcber ProxyLogon-Schwachstellen tauchten bereits am 9. M\u00e4rz 2021 auf.<\/p>\n

Wie bei der Mehrzahl der Ransomware-Varianten legen die Akteure auch bei DearCry eine L\u00f6segeldforderung auf dem Desktop des Opfers ab. Anstatt jedoch einen festen L\u00f6segeldbetrag zu fordern und eine Bitcoin-Wallet-Adresse anzugeben, enth\u00e4lt die DearCry-Notiz zwei E-Mail-Adressen, die das Opfer kontaktieren soll. Ebenso ist eine Anforderung enthalten, einen bereitgestellten Hash zu senden.<\/p>\n

W\u00e4hrend der Ausf\u00fchrung f\u00fchrt DearCry auch einen Dienst namens \u201emsupdate\" aus, der nicht zum Windows-Betriebssystem geh\u00f6rt. Dieser Dienst wird sp\u00e4ter entfernt, wenn die Ransomware ihren Verschl\u00fcsselungsprozess beendet hat. Dar\u00fcber hinaus werden alle logischen Laufwerke des Windows-Betriebssystems, mit Ausnahme von CD-ROM-Laufwerken, auf dem System des Opfers aufgez\u00e4hlt, damit die Ransomware mit der Verschl\u00fcsselung von Dateien unter Verwendung eines \u00f6ffentlichen RSA-Schl\u00fcssels beginnen kann.<\/p>\n

DearCry ist eine neue Ransomware, die ProxyLogon-Schwachstellen von Microsoft Exchange-Servern ausnutzt. Dar\u00fcber hinaus ist sie ein perfektes Beispiel daf\u00fcr, wie Bedrohungsakteure die Bedrohungslandschaft beeinflussen k\u00f6nnen, indem sie neu entdeckte Schwachstellen ausnutzen, um schnellen Profit zu machen. Palo Alto Networks r\u00e4t dringend dazu, alle Microsoft Exchange Server sofort auf die neuesten verf\u00fcgbaren, von Microsoft ver\u00f6ffentlichten Patch-Versionen zu aktualisieren. Mehr Details zu DearCry finden sich in diesem Artikel<\/a>. Im Beitrag ProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a> hatte ich ja alles Wissenswerte zum Schlie\u00dfen der Schwachstellen f\u00fcr Administratoren verlinkt.<\/p>\n

Das Patch-Tempo nimmt zu<\/h2>\n

Die gute Nachricht des Tages lautet, dass die Exchange-Administratoren endlich in die P\u00f6tte kommen und die verwundbaren Systeme aus dem Internet nehmen sowie patchen.<\/p>\n

\"Exchange-Server<\/a><\/p>\n

CERT-Bund hat k\u00fcrzlich die obigen Zahlen ver\u00f6ffentlicht<\/a>, nachdem 9.000 Exchange-Server in den letzten zwei Wochen offline genommen wurden bzw. der Zugriff auf OWA aus dem Internet unterbunden wurde. Allerdings sind noch ca. 12.000 von 56.000 Exchange-Servern mit offenem OWA in Deutschland f\u00fcr ProxyLogon verwundbar.<\/p>\n

Auch von Palo Alto Networks habe ich einige Zahlen erhalten. Das Unternehmen sammelt \u00fcber seine Expanse-Plattform kontinuierlich Informationen \u00fcber alle \u00fcber das Internet zug\u00e4nglichen Ger\u00e4te. Daher lie\u00dfen sich auch Daten zum Gesamtvolumen der \u00f6ffentlich zug\u00e4nglichen Microsoft Exchange Server und die Untergruppe der anf\u00e4lligen Server ermitteln. Durch den Vergleich von Informationen, die im Abstand von drei Tagen gesammelt wurden (am 8. M\u00e4rz und dann noch einmal am 11. M\u00e4rz), ist einerseits ersichtlich, wie viele Microsoft Exchange Server verwundbar waren. Andererseits lie\u00dfen sich auch einige Daten \u00fcber die Geschwindigkeit, mit der Unternehmen Patches aufgespielt haben, gewinnen.<\/p>\n

Die Ergebnisse zeigen, dass die Patch-Raten blitzschnell sind \u2013 mit 36 Prozent in nur drei Tagen. Anhand von FireEye-Daten \u00fcber die Zeitspanne zwischen Aufdeckung, Patch-Ver\u00f6ffentlichung und Ausnutzung ist bekannt, dass in der Vergangenheit die durchschnittliche Zeitspanne bis zum Patching neun Tage betrug. Ein Patch bedeutet aber nicht, dass Unternehmen sicher sind. Es ist davon auszugehen, dass diese Schwachstellen weiter ausgenutzt werden. Die aktuelle Analyse kann hier<\/a> abgerufen werden.<\/p>\n

Achtung bei alten MEOMT-Versionen<\/h2>\n

Hier im Blog habe ich ja einige Artikel ver\u00f6ffentlicht, die sich mit der Erkennung einer Kompromittierung befassen. Unter anderem hat Microsoft einige PowerShell-Scripte ver\u00f6ffentlicht, um Infektionen zu erkennen und zu eliminieren. In diesem Kommentar<\/a> weist ein Blog-Leser darauf hin, dass das PowerShell-Script eomt.ps1<\/em> (Basis des Microsoft Exchange On-Premises Mitigation Tool<\/a><\/em>) in \u00e4lteren Versionen Probleme macht, wenn es auf einem gepatchten Exchange Server 2016 ausgef\u00fchrt wird. Es kommt ggf. zu falschen Alarmen, weil das Script falsche Pr\u00e4missen verwendet. Inzwischen hat Microsoft aber eine neue Fassung des Scripts ver\u00f6ffentlicht<\/a>, die diese Probleme behoben hat. Allerdings sind die Microsoft Erkennungs-Scripte auch nicht unfehlbar, wie der n\u00e4chste Abschnitt zeigt.<\/p>\n

Neue IoCs f\u00fcr ProxyLogon gefunden<\/h2>\n

Die Sicherheitsexperten der HiSolutions AG haben mich \u00fcber Facebook benachrichtigt und auf den Artikel HiSolutions entdeckt neue HAFNIUM\/ProxyLogon IoCs<\/a> hingewiesen. Den Experten sind bei forensischen Untersuchungen zum Thema HAFNIUM\/ProxyLogon mehrere F\u00e4lle untergekommen, wo die Microsoft-Tools (Skripte bzw. Safety Scanner aka MSERT) nichts finden. Im HttpProxy-Log ist kein ProxyLogon zu sehen,\u00a0 w\u00e4hrend der Zugriff im ECP Activity Log nachvollziehbar war. Die Sicherheitsexperten von HiSolution Reasearch haben dann neue Indicators of Compromise<\/a> (IoCs) gefunden, die in obigem Artikel dokumentiert wurden.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nExchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a>
\nWichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nExchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nNeues zum Exchange-Hack \u2013 Testtools von Microsoft & Co.<\/a>
\nMicrosoft MSERT hilft bei Exchange-Server-Scans<\/a>
\nExchange-Hack: Neue Patches und neue Erkenntnisse<\/a>
\nAnatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a>
\nExchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a>
\nNeues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)<\/a>
\nGab es beim Exchange-Massenhack ein Leck bei Microsoft?<\/a>
\nProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a>
\nMicrosoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben<\/a>
\nSicherheitsupdate f\u00fcr Exchange Server 2013 Service Pack 1 \u2013 Neue CUs f\u00fcr Exchange 2019 und 2016 (16.3.2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Bez\u00fcglich der Exchange ProxyLogon-Schwachstellen gibt es ein \u00f6ffentlich verf\u00fcgbares Proof of Concept (PoC), mit neuen Angriffen ist also zu rechnen. Das Patchen und Absichern kommt langsam voran. Microsofts Pr\u00fcfscripte sollten aktuell gehalten werden, sonst scheitern die Tests. Und es gibt … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,2557],"tags":[5359,8240,4328],"class_list":["post-251196","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-server","tag-exchange","tag-proxylogon","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251196","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=251196"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251196\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=251196"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=251196"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=251196"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}