{"id":256537,"date":"2021-08-10T13:33:30","date_gmt":"2021-08-10T11:33:30","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256537"},"modified":"2022-07-12T06:13:07","modified_gmt":"2022-07-12T04:13:07","slug":"exchange-server-neues-zu-den-proxyshell-schwachstellen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/10\/exchange-server-neues-zu-den-proxyshell-schwachstellen\/","title":{"rendered":"Exchange Server: Neues zu den ProxyShell-Schwachstellen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Unbekannte scannen das Internet nach Microsoft Exchange-Servern, die auf dem Update-Stand M\u00e4rz 2021 und gegen die ProxyLogon-Schwachstelle nicht gesch\u00fctzt sind. CERT-Bund warnt, und fordert zum Patchen auf. Inzwischen gibt es f\u00fcr Administratoren erweiterte Sigma-Regeln, um Angriffe abzuwehren. Und es es gibt ein Script, mit dem Administratoren pr\u00fcfen k\u00f6nnen, ob eigene Exchange Server angreifbar sind. Nachfolgend habe ich einige Informationen rund um dieses Thema zusammengefasst.<\/p>\n

<\/p>\n

Alte Schwachstellen, neue Angriffsszenarien<\/h2>\n

\"\"Der taiwanesische Sicherheitsforscher Orange Tsai vom DEVCORE-Team hat vorige Wochen auf der BlackHat 2021 einen Vortrag \u00fcber Exchange-Schwachstellen gehalten. Dabei zeigte er, wie durch Kombination alter Schwachstellen (z.B. CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207), die im April 2021 durch Updates geschlossen wurden, Microsoft Exchange-Server \u00fcber ProxyLogon, ProxyOracle und ProxyShell genannte Exploits angegriffen und \u00fcbernommen werden k\u00f6nnen. Seit diesem Vortrag auf der BlackHat 2021 stellen Sicherheitsforscher fest, dass ihre als Honeypot fungierenden Exchange Server aktiv durch Angreifer auf nicht geschlossene Schwachstellen gescannt werden.<\/p>\n

Ich hatte bereits vor einigen Tagen im Blog-Beitrag Exchange-Schwachstellen: Droht Hafnium II?<\/a> \u00fcber diesen Sachverhalt berichtet. Die Empfehlung lautete, die On-Premises Exchange-Server auf den aktuellen Patchstand bringen und daf\u00fcr zu sorgen, dass diese nicht per Internet erreichbar sind. Im Blog-Beitrag hatte ich auch drauf hingewiesen, dass in Europa und speziell in Deutschland Tausende Exchange Server betrieben werden, die nicht auf dem aktuellen Patchstand sind.<\/p>\n

Warnung des CERT-Bund<\/h2>\n

Inzwischen hat CERT-Bund das Thema aufgegriffen und warnt in nachfolgendem Tweet<\/a> vor den oben angesprochenen Sicherheitsl\u00fccken und gibt Hinweise auf Sigma Regeln zur Detektion von Angriffsversuchen.<\/p>\n

<\/a><\/p>\n

Die im Tweet ver\u00f6ffentlichte Karte von Europa zeigt, dass seine Reihe angreifbarer Exchange Server betrieben werden. Jan Kopriva vom SANS<\/em> Institute hat \u00fcber die Suchmaschine Shodan versucht, herauszufinden, wie viele Server von ProxyShell-Angriff und den Schwachstellen CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207 betroffen sein k\u00f6nnten und per Internet erreichbar sind. Die Ergebnisse aus nachfolgendem Tweet<\/a>, bzw. aus diesem Artikel<\/a> sind niederschmetternd.<\/p>\n

\"Angreifbare<\/a><\/p>\n

In Deutschland sind fast 6.000 Exchange Server per Internet erreichen und sind \u00fcber die Schwachstellen CVE-2021-34473 angreifbar.<\/p>\n

ProxyShell-Checker als Nmap-Plugin<\/h2>\n

Sicherheitsforscher Kevin Beaumont, der auch den angegriffenen Exchange-Honeypot betreibt, hat auf die Schnelle einen ProxyShell-Checker geschrieben und stellt diesen auf seiner GitHub-Seite<\/a> zur Verf\u00fcgung.<\/p>\n

\"ProxyShell<\/a><\/p>\n

Der Scanner ist als Nmap-Plugin implementiert. Nmap<\/a> (\"Network Mapper\") ist ein freies und quelloffenes (lizenziertes) Dienstprogramm zur Netzwerkerkennung und Sicherheits\u00fcberpr\u00fcfung.<\/p>\n

Sigma-Rules f\u00fcr ProxyShell-Angriffe<\/h2>\n

Florian Roth weist in nachfolgendem Tweet<\/a> darauf hin , dass er die ProxyShell Sigma-Regeln<\/a> (siehe auch<\/a>) f\u00fcr SIEM-Systeme mit Hilfe von @buffaloverflow erweitert und ge\u00e4ndert habe. Die Regeln unterscheiden jetzt zwischen versuchter und erfolgreicher Ausnutzung.<\/p>\n

\"Sigma-Rules<\/a><\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a>
\nWichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nExchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nNeues zum Exchange-Hack \u2013 Testtools von Microsoft & Co.<\/a>
\nMicrosoft MSERT hilft bei Exchange-Server-Scans<\/a>
\nExchange-Hack: Neue Patches und neue Erkenntnisse<\/a>
\nAnatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a>
\nExchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a>
\nNeues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)<\/a>
\nGab es beim Exchange-Massenhack ein Leck bei Microsoft?<\/a>
\nProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a>
\nMicrosoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben<\/a>
\nSicherheitsupdate f\u00fcr Exchange Server 2013 Service Pack 1 \u2013 Neue CUs f\u00fcr Exchange 2019 und 2016 (16.3.2021)<\/a>
\nMicrosoft Defender schlie\u00dft automatisch CVE-2021-26855 auf Exchange Server<\/a>
\nExchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)<\/a>
\nNeues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)<\/a>
\nVorwarnung: 0-Day-Schwachstellen, ist das n\u00e4chste Exchange-Drama im Anrollen?<\/a>
\nSicherheitsupdates f\u00fcr Exchange Server (Juli 2021)<\/a>
\nKumulative Exchange Updates Juni 2021 ver\u00f6ffentlicht<\/a>
\nExchange Server Security Update KB5001779 (13. April 2021)<\/a>
\nExchange-Schwachstellen: Droht Hafnium II?<\/a>
\nAngriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Unbekannte scannen das Internet nach Microsoft Exchange-Servern, die auf dem Update-Stand M\u00e4rz 2021 und gegen die ProxyLogon-Schwachstelle nicht gesch\u00fctzt sind. CERT-Bund warnt, und fordert zum Patchen auf. Inzwischen gibt es f\u00fcr Administratoren erweiterte Sigma-Regeln, um Angriffe abzuwehren. Und es es … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,2557],"tags":[5359,4328,4315],"class_list":["post-256537","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-windows-server","tag-exchange","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256537","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=256537"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256537\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=256537"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=256537"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=256537"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}