{"id":251582,"date":"2021-03-30T23:58:00","date_gmt":"2021-03-30T21:58:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=251582"},"modified":"2023-04-24T00:26:26","modified_gmt":"2023-04-23T22:26:26","slug":"exchange-hafnium-hacker-kapitulieren-vor-office-365","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/03\/30\/exchange-hafnium-hacker-kapitulieren-vor-office-365\/","title":{"rendered":"Exchange: Hafnium-Hacker kapitulieren vor Office 365"},"content":{"rendered":"

[English<\/a>]Nach dem Massenhack von On-Premises Exchange Server Ende Februar und im M\u00e4rz 2021 stellt sich die Frage, wie man so etwas verhindern kann. Von Barracuda Networks liegen mir einige Informationen vor, die ich hier im Blog zur Lekt\u00fcre einstellen m\u00f6chte – auch wenn dort das Loblied auf die Cloud gesungen wird.<\/p>\n

<\/p>\n

\"\"Seit Anfang M\u00e4rz 2021 wird die Gruppe der Exchange-E-Mail-Server-Betreiber heftig durchgesch\u00fcttelt. Microsoft musste Anfang M\u00e4rz 2021 bekannt geben, dass es vier Schwachstellen in One Premises Exchange-Server-Systemen gab. Die Schwachstellen wurden zwar per Update zum 2. M\u00e4rz 2021 geschlossen. Aber eine Cybercrime-Gruppe, bekannt als Hafnium, hatte bereits im Februar 2021 ihre Angriffskampagne gestartet (siehe Anatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a>). Bei den Angriffen wurden die Schwachstellen um die Outlook Web Access-Schnittstelle (OWA) von Microsoft Exchange ausnutzt.<\/p>\n

Weltweit gerieten Hundertausende Exchange-Systeme in den Fokus von Cyberkriminellen. Auch in Deutschland waren Unternehmen und mehrere Bundesbeh\u00f6rden betroffen. Darunter z\u00e4hlen das Umweltbundesamt, das daraufhin sein komplettes E-Mail-System in Quarant\u00e4ne schickte, oder das Paul-Ehrlich-Institut.<\/p>\n

Grunds\u00e4tzlich sei die IT-Sicherheit in Deutschland desastr\u00f6s, so die Barracuda Networks-Leute unter Bezug auf diesen ZDF-Bericht<\/a> zum Exchange-Hack. Doch was steckt eigentlich genau hinter der der Angriffsmethode? Und noch wichtiger: Was k\u00f6nnen Organisationen dagegen tun?<\/p>\n

Exchange-\u00dcbernahme in anf\u00e4lligen Systemen<\/h2>\n

Die Sicherheitsl\u00fccken, die ausgenutzt wurden, waren CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 (siehe Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a>). CVE-2021-26855 ist eine SSRF-Schwachstelle (Server-Side Request Forgery) in Exchange, die es dem Angreifer erm\u00f6glicht, beliebige HTTP-Anfragen zu senden und sich als Exchange-Server zu authentifizieren. CVE-2021-26855 wird bevorzugt verwendet, um anf\u00e4llige Systeme zu identifizieren.<\/p>\n

Die \u00fcbrigen Schwachstellen scheinen mit dieser Schwachstelle verkettet zu sein, um weitere Exploits auszuf\u00fchren, darunter sogenannte Webshells. Eine Webshell ist eine b\u00f6swillige webbasierte Schnittstelle, die den Remotezugriff und die Steuerung auf einen Webserver erm\u00f6glicht, indem beliebige Befehle ausgef\u00fchrt werden.<\/p>\n

\"Exchange
\n(Quelle: Barracuda)<\/p>\n

Die Security-Analysten von Barracuda konnten seit M\u00e4rzbeginn eine anfangs moderate und sp\u00e4ter deutliche Zunahme an Sondierungsversuchen f\u00fcr CVE-2021-26855 feststellen (siehe obige Grafik). Eine betr\u00e4chtliche Anzahl davon richtete sich gegen Systeme, auf denen im Backend nicht Exchange lief. Die h\u00e4ufigsten URLs, die die Angreifer sondierten, waren:<\/p>\n

\/owa\/auth\/x.js
\n\/ecp\/y.js
\n\/ecp\/program.js
\n\/ecp\/x.js
\n\/\/ecp\/x.js<\/p>\n

\"Probed
\n(Quelle: Barracuda)<\/p>\n

Barracuda schreibt: Anscheinend verwendeten die meisten dieser Probes die Cookies X-AnonResource-Backend<\/em> und X-BEResource<\/em>. Beide endeten mit dem Parameter \"?~3\".<\/em> Das Microsoft-Skript beschreibt diesen zum Scannen von Sicherheitsrisiken. Die von diesen Scannern benutzten UserAgents waren hauts\u00e4chlich ExchangeServicesClient, python-requests<\/em> und nmap<\/em>. Daneben wurden aber auch Standard-Browser-Header verwendet. Es ist davon auszugehen, dass die Angreifer noch einige Wochen verst\u00e4rkt nach den genannten Schwachstellen suchen und sie ausnutzen werden, bevor sich die Attacken auf ein niedrigeres Niveau einpendeln werden.<\/p>\n

\"Top
\n(Quelle: Barracuda)<\/p>\n

Erfolglose Angriffe auf Office 365-E-Mail-Umgebungen<\/h2>\n

Eine wichtige Erkenntnis aus den Security-Analysen ist laut Barracuda, dass die Hacker mit ihren Angriffen gegen Unternehmen, die Office 365 nutzen, erfolglos blieben. Es sieht so aus, als ob die Cloud \u2013 wie von vielen Security-Experten wiederholt betont, sicherer ist als veraltete, lokale L\u00f6sungen. Hafnium hat demnach gezeigt, dass die Cloud f\u00fcr viele Organisationen und Unternehmen noch keine Option ist. Warum ist das so?<\/p>\n