{"id":259599,"date":"2021-11-19T10:48:02","date_gmt":"2021-11-19T09:48:02","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=259599"},"modified":"2021-11-19T10:52:09","modified_gmt":"2021-11-19T09:52:09","slug":"proxynoshell-mandiant-warnt-vor-neuen-angriffsmethoden-auf-exchange-server-nov-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/11\/19\/proxynoshell-mandiant-warnt-vor-neuen-angriffsmethoden-auf-exchange-server-nov-2021\/","title":{"rendered":"ProxyNoShell: Mandiant warnt vor neuen Angriffsmethoden auf Exchange-Server (Nov. 2021)"},"content":{"rendered":"<p><img decoding=\"async\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" width=\"200\" align=\"left\"\/>[English]Cyber-Angreifer verwenden seit Monaten drei bekannte Schwachstellen in Microsofts Exchange Servern, f\u00fcr die es bereits seit Monaten Updates gibt. Trotzdem sind um die 30.000 Microsoft Exchange Sever per Internet erreichbar, die \u00fcber diese Schwachstellen angreifbar sind. Sicherheitsforscher haben jetzt eine Warnung herausgegeben, weil Cyber-Kriminelle ihre Taktik ge\u00e4ndert haben, um durch Ausnutzung von drei Sicherheitsl\u00fccken in lokalen Microsoft Exchange-Servern, die unter dem Namen ProxyShell zusammengefasst wurden, Systeme anzugreifen und dort schwer erkennbare WebShells zu installieren.<\/p>\n<p><!--more--><\/p>\n<h2>Die ProxyShell-Schwachstellen<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg08.met.vgwort.de\/na\/48f142db7d0340a9a2c462fafda4e046\" width=\"1\" height=\"1\"\/>Bei ProxyShell handelt es sich um eine Kombination von drei Sicherheitsl\u00fccken in Microsoft Exchange Server: <\/p>\n<ul>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-34473\" target=\"_blank\" rel=\"noopener\">CVE-2021-34473<\/a>: Eine kritische Sicherheitsanf\u00e4lligkeit f\u00fcr Remotecodeausf\u00fchrung, f\u00fcr deren Ausnutzung keine Benutzeraktion oder -rechte erforderlich sind;  <\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-34523\" target=\"_blank\" rel=\"noopener\">CVE-2021-34523<\/a>: Eine Sicherheitsanf\u00e4lligkeit zur Erh\u00f6hung von Berechtigungen nach der Authentifizierung;  <\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2021-31207\" target=\"_blank\" rel=\"noopener\">CVE-2021-31207<\/a>: Ein mittelschwerer Fehler nach der Authentifizierung, der Angreifern die M\u00f6glichkeit bietet, auf anf\u00e4lligen Systemen administrativen Zugriff zu erlangen. <\/li>\n<\/ul>\n<p>Die Sicherheitsl\u00fccken sind in Exchange Server 2013, 2016 und 2019 vorhanden, aber es gibt Sicherheitsupdates. Microsoft hat die Schwachstellen im April und Mai behoben, und im Juli 2021 auch entsprechende CVEs zugewiesen. Gleichzeitig wurden die betreffenden Sicherheitsupdates ver\u00f6ffentlicht. Zudem gab es in der Zwischenzeit zahlreiche Warnungen, dass die Sicherheitsl\u00fccken ausgenutzt wurden. <\/p>\n<p>Eigentlich sollte das Thema zwischenzeitlich in trockenen T\u00fcchern sein. Aber die Sicherheitsforscher des Anbieters Mandiant sind im November 2021 auf ca 30.000 per Internet erreichbarer Exchange Server gesto\u00dfen, die nicht gepatcht und damit weiterhin anf\u00e4llig f\u00fcr diese Angriffe sind.<\/p>\n<h2>Neue ProxyShell-Angriffstaktiken<\/h2>\n<p>Nun haben die Sicherheitsforscher von Mandiant k\u00fcrzlich neue Angriffstaktiken zur Ausnutzung der ProxyShell-Schwachstellen beobachtet und die Tage den Blog-Beitrag <a href=\"https:\/\/www.mandiant.com\/resources\/change-tactics-proxyshell-vulnerabilities\" target=\"_blank\" rel=\"noopener\">ProxyNoShell: A Change in Tactics Exploiting ProxyShell Vulnerabilities<\/a> ver\u00f6ffentlicht. Ich bin \u00fcber nachfolgenden <a href=\"https:\/\/twitter.com\/DarkReading\/status\/1461492900014002184\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> auf diesen Bericht gesto\u00dfen.<\/p>\n<p><a href=\"https:\/\/twitter.com\/DarkReading\/status\/1461492900014002184\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"A Change in Tactics Exploiting ProxyShell Vulnerabilities in Exchange Server\" alt=\"A Change in Tactics Exploiting ProxyShell Vulnerabilities in Exchange Server\" src=\"https:\/\/i.imgur.com\/kG1mXAt.png\"\/><\/a><\/p>\n<p>Das Ganze ist m\u00f6glicherweise eine Reaktion der Cyber-Kriminellen, die darauf reagieren m\u00fcssen, dass Anbieter von Antiviren- und Endpoint Detection and Response (EDR) L\u00f6sungen schnell Erkennungsfunktionen f\u00fcr Web-Shells entwickelt haben, die \u00fcber den Postf\u00e4cherexport erstellt werden. Joshua Goddard von Mandiant meint, dass die Angreifer wahrscheinlich dazu veranlasst habe, nach neuen Wegen zu suchen, um ungepatchte Exchange Server-Systeme \u00fcber die ProxyShell-Schwachstellen anzugreifen. <\/p>\n<p>Bei mehreren k\u00fcrzlich durchgef\u00fchrten Incident-Response-Eins\u00e4tzen beobachtete Mandiant, dass Bedrohungsakteure die Schwachstellen auf andere Weise ausnutzen als zuvor bekannt. <\/p>\n<ul>\n<li>Bisher wurden Postfachexporte und die Ausnutzung der ersten beiden Schwachstellen in der Exploit-Kette zur Installation einer WebShell benutzt.  <\/li>\n<li>Nun werden die WebShells \u00fcber den Export von Exchange-Zertifikatsanforderungen auf den angreifbaren Zielsystemen installiert. <\/li>\n<\/ul>\n<p>Ist eine WebShell erfolgreich installiert, k\u00f6nnen die Angreifer Remote-PowerShell verwenden, um neue Postf\u00e4cher zu erstellen, ihnen privilegierten Zugriff auf andere Postf\u00e4cher zuzuweisen und dann \u00fcber Outlook Web Access (OWA) auf sie zuzugreifen. Mandiant hat sich daher entschlossen, diese \u00c4nderungen in der Taktik \u00f6ffentlich zu machen. Denn die bisher ver\u00f6ffentlichten Erkennungs- und Reaktionsanweisungen konzentrierten sich ausschlie\u00dflich auf Web-Shells, die aus dem Postf\u00e4cherexport stammen.<\/p>\n<p>Im <a href=\"https:\/\/www.mandiant.com\/resources\/change-tactics-proxyshell-vulnerabilities\" target=\"_blank\" rel=\"noopener\">Mandiant Blog-Beitrag<\/a> ist im Detail beschrieben, welche Angriffspfade neuerdings verwendet werden, um WebShells zu installieren und Exchange-Postf\u00e4cher zu kompromittieren. Gerade vor wenigen Tagen hatte ich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/11\/12\/bsi-cert-warnung-kompromittierte-exchange-server-werden-fr-e-mail-angriffe-missbraucht-nov-2021\/\">BSI\/CERT-Warnung: Kompromittierte Exchange-Server werden f\u00fcr E-Mail-Angriffe missbraucht (Nov. 2021)<\/a> eine Warnung des BSI zu kompromittierten Exchange-Servern ver\u00f6ffentlicht, die f\u00fcr E-Mail-Angriffe missbraucht werden. Mandiant gibt im <a href=\"https:\/\/www.mandiant.com\/resources\/change-tactics-proxyshell-vulnerabilities\" target=\"_blank\" rel=\"noopener\">Blog-Beitrag<\/a> Hinweise, wie sich Exchange Server sowohl \u00fcberwachen als auch auf eine erfolgreiche Kompromittierung untersucht lassen. Vielleicht sind die Hinweise f\u00fcr Exchange-Administratoren hilfreich. <\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/><\/strong><a href=\"https:\/\/borncity.com\/blog\/2021\/03\/03\/exchange-server-0-day-exploits-werden-aktiv-ausgenutzt-patchen\/\">Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/03\/06\/wichtige-hinweise-microsofts-und-des-bsi-zum-exchange-server-sicherheitsupdate-mrz-2021\/\">Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/03\/05\/exchange-probleme-mit-ecp-nach-sicherheitsupdate-mrz-2021\/\">Exchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/03\/07\/neues-zum-exchange-hack-testtools-von-microsoft-co\/\">Neues zum Exchange-Hack \u2013 Testtools von Microsoft &amp; Co.<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/03\/08\/microsoft-msert-hilft-bei-exchange-server-scans\/\">Microsoft MSERT hilft bei Exchange-Server-Scans<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/03\/09\/exchange-hack-neue-patches-und-neue-erkenntnisse\/\">Exchange-Hack: Neue Patches und neue Erkenntnisse<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/03\/11\/anatomie-des-proxylogon-hafinum-exchange-server-hacks\/\">Anatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/03\/11\/exchange-hack-neue-opfer-neue-patches-neue-angriffe\/\">Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/03\/12\/neues-zur-proxylogon-hafnium-exchange-problematik-12-3-2021\/\">Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/03\/13\/gab-es-beim-exchange-massenhack-ein-leck-bei-microsoft\/\">Gab es beim Exchange-Massenhack ein Leck bei Microsoft?<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/03\/13\/proxylogon-hack-repository-fr-betroffene-exchange-administratoren\/\">ProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/03\/16\/microsoft-exchange-on-premises-one-click-mitigation-tool-eomt-freigegeben\/\">Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/03\/17\/exchange-server-2013-sicherheitsupdate-fr-service-pack-1\/\">Sicherheitsupdate f\u00fcr Exchange Server 2013 Service Pack 1 \u2013 Neue CUs f\u00fcr Exchange 2019 und 2016 (16.3.2021)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/03\/19\/microsoft-defender-schliet-automatisch-cve-2021-26855-auf-exchange-server\/\">Microsoft Defender schlie\u00dft automatisch CVE-2021-26855 auf Exchange Server<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/03\/25\/exchange-proxylogon-news-patch-stand-neue-ransomware-etc-25-3-2021\/\">Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/04\/01\/exchange-hack-wie-schaut-es-mit-dem-risiko-aus-was-gibt-es-neues-1-april-2021\/\">Neues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/04\/09\/vorwarnung-0-day-schwachstellen-ist-das-nchste-exchange-drama-im-anrollen\/\">Vorwarnung: 0-Day-Schwachstellen, ist das n\u00e4chste Exchange-Drama im Anrollen?<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/07\/14\/sicherheitsupdates-fr-exchange-server-juli-2021\/\">Sicherheitsupdates f\u00fcr Exchange Server (Juli 2021)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/06\/29\/kumulative-exchange-updates-juni-2021-verffentlicht\/\">Kumulative Exchange Updates Juni 2021 ver\u00f6ffentlicht<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/04\/14\/exchange-server-security-update-kb5001779-13-april-2021\/\">Exchange Server Security Update KB5001779 (13. April 2021)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/08\/07\/exchange-schwachstellen-droht-hafnium-ii\/\">Exchange-Schwachstellen: Droht Hafnium II?<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/08\/10\/exchange-server-neues-zu-den-proxyshell-schwachstellen\/\">Exchange Server: Neues zu den ProxyShell-Schwachstellen<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/08\/13\/angriffe-auf-exchange-server-per-proxyshell-schwachstelle-rollen-an-13-8-2021\/\">Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/08\/22\/angriffswelle-fast-2-000-exchange-server-ber-proxyshell-gehackt\/\">Angriffswelle, fast 2.000 Exchange-Server \u00fcber ProxyShell gehackt<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/08\/25\/proxyshell-proxylogon-und-microsofts-exchange-doku-fr-ausnahmen-vom-virenschutz\/\">ProxyShell, ProxyLogon und Microsofts Exchange-Doku f\u00fcr Ausnahmen vom Virenschutz<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/08\/26\/exchange-und-proxyshell-neues-von-microsoft-und-sicherheitsspezialisten\/\">Exchange und ProxyShell: Neues von Microsoft und Sicherheitsspezialisten<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/10\/17\/tifanu-cup-2021-exchange-2019-und-iphone-gehackt\/\">Tianfu Cup 2021: Exchange 2019 und iPhone gehackt<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/11\/06\/babuk-gang-nutzt-proxyshell-schwachstelle-in-exchange-fr-ransomware-angriffe\/\">Babuk-Gang nutzt ProxyShell-Schwachstelle in Exchange f\u00fcr Ransomware-Angriffe<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/11\/10\/exchange-server-november-2021-sicherheitsupdates-schlieen-rce-schwachstelle-cve-2021-423\/\">Exchange Server November 2021 Sicherheitsupdates schlie\u00dfen RCE-Schwachstelle CVE-2021-423<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/11\/12\/bsi-cert-warnung-kompromittierte-exchange-server-werden-fr-e-mail-angriffe-missbraucht-nov-2021\/\">BSI\/CERT-Warnung: Kompromittierte Exchange-Server werden f\u00fcr E-Mail-Angriffe missbraucht (Nov. 2021)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/11\/18\/warnung-cert-bund-usa-gb-vor-angriffen-auf-exchange-und-fortinet\/\">Warnung (CERT-Bund, USA, GB) vor Angriffen auf Exchange und Fortinet<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Cyber-Angreifer verwenden seit Monaten drei bekannte Schwachstellen in Microsofts Exchange Servern, f\u00fcr die es bereits seit Monaten Updates gibt. Trotzdem sind um die 30.000 Microsoft Exchange Sever per Internet erreichbar, die \u00fcber diese Schwachstellen angreifbar sind. Sicherheitsforscher haben jetzt eine &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/11\/19\/proxynoshell-mandiant-warnt-vor-neuen-angriffsmethoden-auf-exchange-server-nov-2021\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[5359,4328],"class_list":["post-259599","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259599","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=259599"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259599\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=259599"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=259599"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=259599"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}