{"id":259712,"date":"2021-11-23T08:43:28","date_gmt":"2021-11-23T07:43:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=259712"},"modified":"2023-02-20T08:18:21","modified_gmt":"2023-02-20T07:18:21","slug":"warnung-proxyshell-squirrelwaffle-und-ein-poc-eploit-patcht-endlich-eure-exchange-server","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/11\/23\/warnung-proxyshell-squirrelwaffle-und-ein-poc-eploit-patcht-endlich-eure-exchange-server\/","title":{"rendered":"Warnung: ProxyShell, Squirrelwaffle und ein PoC-Exploit, patcht endlich eure Exchange-Server"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/11\/23\/warnung-proxyshell-squirrelwaffle-und-ein-poc-eploit-patcht-endlich-eure-exchange-server\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Wie oft denn noch? Aktuell warne ich fast im Tagesrhythmus vor dem Betrieb ungepatchter Exchange-Schwachstellen und ProxyShell-Angriffen. Vor einigen Tagen hat Trend Micro eine Warnung vor Angriffen auf die ProxyShell-Schwachstellen \u00fcber den Squirrelwaffle-Exploit und der \u00dcbernahme der Exchange-E-Mail-Postf\u00e4cher gewarnt. Seit wenigen Stunden ist ein weitere Exploit als Proof of Concept \u00f6ffentlich, die Ausnutzung gegen ungepatchte Exchange-Server ist wahrscheinlich. Patcht also endlich die Systeme.<\/p>\n<p><!--more--><\/p>\n<h2>Die ProxyShell-Schwachstellen<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/4cdb663e729b48df82afaaa98d0c4473\" alt=\"\" width=\"1\" height=\"1\" \/>Cyber-Angreifer verwenden seit Monaten drei bekannte und unter dem Namen ProxyShell fungierende Schwachstellen in Microsofts Exchange Server 2013, 2016 und 2019, f\u00fcr die es bereits seit Monaten Updates gibt:<\/p>\n<ul>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-34473\" target=\"_blank\" rel=\"noopener\">CVE-2021-34473<\/a>: Eine kritische Sicherheitsanf\u00e4lligkeit f\u00fcr Remotecodeausf\u00fchrung, f\u00fcr deren Ausnutzung keine Benutzeraktion oder -rechte erforderlich sind;<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-34523\" target=\"_blank\" rel=\"noopener\">CVE-2021-34523<\/a>: Eine Sicherheitsanf\u00e4lligkeit zur Erh\u00f6hung von Berechtigungen nach der Authentifizierung;<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2021-31207\" target=\"_blank\" rel=\"noopener\">CVE-2021-31207<\/a>: Ein mittelschwerer Fehler nach der Authentifizierung, der Angreifern die M\u00f6glichkeit bietet, auf anf\u00e4lligen Systemen administrativen Zugriff zu erlangen.<\/li>\n<\/ul>\n<p>Microsoft hat die Schwachstellen im April und Mai 2021 behoben, und im Juli 2021 auch entsprechende CVEs zugewiesen, sowie Sicherheitsupdates ver\u00f6ffentlicht. Seit diesem Zeitpunkt gab (auch hier im Blog, siehe Linkliste am Artikelende) zahlreiche Warnungen, dass die Sicherheitsl\u00fccken ausgenutzt wurden. Die Sicherheitsforscher des Anbieters Mandiant sind im November 2021 auf ca 30.000 per Internet erreichbarer Exchange Server gesto\u00dfen, die nicht gepatcht und damit weiterhin anf\u00e4llig f\u00fcr diese Angriffe sind. Inzwischen gibt es die Warnung, dass die ProxyShell-Schwachstellen \u00fcber neue Angriffsvarianten missbraucht werden (siehe <a href=\"https:\/\/borncity.com\/blog\/2021\/11\/19\/proxynoshell-mandiant-warnt-vor-neuen-angriffsmethoden-auf-exchange-server-nov-2021\/\">ProxyNoShell: Mandiant warnt vor neuen Angriffsmethoden auf Exchange-Server (Nov. 2021)<\/a>).<\/p>\n<h2>Trend Micro warnt vor Squirrelwaffle-Exploit<\/h2>\n<p>Letzten Freitag hat Trend Micro in seinem Blog den Beitrag <a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/21\/k\/Squirrelwaffle-Exploits-ProxyShell-and-ProxyLogon-to-Hijack-Email-Chains.html\" target=\"_blank\" rel=\"noopener\">Squirrelwaffle Exploits ProxyShell and ProxyLogon to Hijack Email Chains<\/a> ver\u00f6ffentlicht, in dem es um einen neuen Exploit f\u00fcr die ProyShell-Schwachstellen in Exchange geht. Im September tauchte Squirrelwaffle als neuer Loader auf, um angreifbare Exchange-Server \u00fcber die Schwachstellen zu infizieren. Der Loader wird \u00fcber Spam-Kampagnen verbreitet und ist daf\u00fcr bekannt, dass er seine b\u00f6sartigen E-Mails als Antworten auf bereits bestehende E-Mail-Ketten versendet. Dies ist eine Taktik, die den Schutz der Opfers vor b\u00f6sartigen Aktivit\u00e4ten herabsetzt (die Empf\u00e4nger vertrauen den bekannten Absendern).<\/p>\n<p>Die Sicherheitsforscher gehen davon aus, dass die Angreifer eine Kette von ProxyLogon- und ProxyShell-Exploits verwendem, um diese Angriffe zu bewerkstelligen. Hintergrund ist, dass alle beobachteten und dann sp\u00e4ter von Trend Micro im Nahen Osten untersuchten Angriffe \u00fcber per Squirrelwaffle gehackten Exchange-Server gegen ProxyLogon- und ProxyShell-Schwachstellen verwundbar waren. In ihrem Blog.Beitrag beleuchten die Sicherheitsforscher diese anf\u00e4nglichen Zugriffstechniken und die fr\u00fchen Phasen der Squirrelwaffle-Kampagnen genauer &#8211; auf die Details brauche ich nicht einzugehen.<\/p>\n<h2>Neuer Proof of Concept Exploit<\/h2>\n<p>Im November 2021 gab es ja weitere Sicherheitsupdates f\u00fcr die letzten Exchange CUs, in denen eines Remote Code Execution-Schwachstelle geschlossen wurde (siehe <a href=\"https:\/\/borncity.com\/blog\/2021\/11\/10\/exchange-server-november-2021-sicherheitsupdates-schlieen-rce-schwachstelle-cve-2021-423\/\">Exchange Server November 2021 Sicherheitsupdates schlie\u00dfen RCE-Schwachstelle CVE-2021-423<\/a>). Zwei Wochen sp\u00e4ter, am Sonntag, den 21.11.2021, hat der Sicherheitsforscher Janggggg (@testanull) aus Vietnam einen Proof of Concept Exchange Post-Auth RCE-Exploit ver\u00f6ffentlicht &#8211; siehe folgender <a href=\"https:\/\/twitter.com\/testanull\/status\/1462363736815988744\" target=\"_blank\" rel=\"noopener\">Tweet<\/a>.<\/p>\n<p><a href=\"https:\/\/twitter.com\/testanull\/status\/1462363736815988744\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Exchange PoC\" src=\"https:\/\/i.imgur.com\/WGcLXOP.png\" alt=\"Exchange PoC\" \/><\/a><\/p>\n<p>Der Exploit startet zur Demo MSPaint auf den angreifbaren Systemen mit Exchange Server 2016 und 2019. Frank Z\u00f6chling hat es <a href=\"https:\/\/www.frankysweb.de\/exchange-sicherheitsupdates-dringend-installieren\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> auf Deutsch angesprochen (bitte den Artikel lesen, da Frank auf einige Implikationen eingeht, die erfahrene Exchange-Administratoren aber kennen), und die Kollegen von Bleeping Computer haben <a href=\"https:\/\/web.archive.org\/web\/20221117191520\/https:\/\/www.bleepingcomputer.com\/news\/security\/exploit-released-for-microsoft-exchange-rce-bug-patch-now\/\" target=\"_blank\" rel=\"noopener\">diesen Artikel<\/a> zum Sachverhalt publiziert. Microsoft best\u00e4tigt, dass man eine begrenzte Anzahl an Angriffen \u00fcber die Schwachstellen beobachtet. Es ist also an der Zeit, seine Exchange-Server nochmals zu \u00fcberpr\u00fcfen, ob diese gepatcht sind. Kann ggf. mit dem <a href=\"https:\/\/aka.ms\/ExchangeHealthChecker\" target=\"_blank\" rel=\"noopener\">Exchange Server Health Checker-Script<\/a> erfolgen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2021\/03\/03\/exchange-server-0-day-exploits-werden-aktiv-ausgenutzt-patchen\/\">Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/06\/wichtige-hinweise-microsofts-und-des-bsi-zum-exchange-server-sicherheitsupdate-mrz-2021\/\">Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/05\/exchange-probleme-mit-ecp-nach-sicherheitsupdate-mrz-2021\/\">Exchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/07\/neues-zum-exchange-hack-testtools-von-microsoft-co\/\">Neues zum Exchange-Hack \u2013 Testtools von Microsoft &amp; Co.<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/08\/microsoft-msert-hilft-bei-exchange-server-scans\/\">Microsoft MSERT hilft bei Exchange-Server-Scans<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/09\/exchange-hack-neue-patches-und-neue-erkenntnisse\/\">Exchange-Hack: Neue Patches und neue Erkenntnisse<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/11\/anatomie-des-proxylogon-hafinum-exchange-server-hacks\/\">Anatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/11\/exchange-hack-neue-opfer-neue-patches-neue-angriffe\/\">Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/12\/neues-zur-proxylogon-hafnium-exchange-problematik-12-3-2021\/\">Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/13\/gab-es-beim-exchange-massenhack-ein-leck-bei-microsoft\/\">Gab es beim Exchange-Massenhack ein Leck bei Microsoft?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/13\/proxylogon-hack-repository-fr-betroffene-exchange-administratoren\/\">ProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/16\/microsoft-exchange-on-premises-one-click-mitigation-tool-eomt-freigegeben\/\">Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/17\/exchange-server-2013-sicherheitsupdate-fr-service-pack-1\/\">Sicherheitsupdate f\u00fcr Exchange Server 2013 Service Pack 1 \u2013 Neue CUs f\u00fcr Exchange 2019 und 2016 (16.3.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/19\/microsoft-defender-schliet-automatisch-cve-2021-26855-auf-exchange-server\/\">Microsoft Defender schlie\u00dft automatisch CVE-2021-26855 auf Exchange Server<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/25\/exchange-proxylogon-news-patch-stand-neue-ransomware-etc-25-3-2021\/\">Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/01\/exchange-hack-wie-schaut-es-mit-dem-risiko-aus-was-gibt-es-neues-1-april-2021\/\">Neues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/09\/vorwarnung-0-day-schwachstellen-ist-das-nchste-exchange-drama-im-anrollen\/\">Vorwarnung: 0-Day-Schwachstellen, ist das n\u00e4chste Exchange-Drama im Anrollen?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/14\/sicherheitsupdates-fr-exchange-server-juli-2021\/\">Sicherheitsupdates f\u00fcr Exchange Server (Juli 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/06\/29\/kumulative-exchange-updates-juni-2021-verffentlicht\/\">Kumulative Exchange Updates Juni 2021 ver\u00f6ffentlicht<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/14\/exchange-server-security-update-kb5001779-13-april-2021\/\">Exchange Server Security Update KB5001779 (13. April 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/07\/exchange-schwachstellen-droht-hafnium-ii\/\">Exchange-Schwachstellen: Droht Hafnium II?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/10\/exchange-server-neues-zu-den-proxyshell-schwachstellen\/\">Exchange Server: Neues zu den ProxyShell-Schwachstellen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/13\/angriffe-auf-exchange-server-per-proxyshell-schwachstelle-rollen-an-13-8-2021\/\">Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/22\/angriffswelle-fast-2-000-exchange-server-ber-proxyshell-gehackt\/\">Angriffswelle, fast 2.000 Exchange-Server \u00fcber ProxyShell gehackt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/25\/proxyshell-proxylogon-und-microsofts-exchange-doku-fr-ausnahmen-vom-virenschutz\/\">ProxyShell, ProxyLogon und Microsofts Exchange-Doku f\u00fcr Ausnahmen vom Virenschutz<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/26\/exchange-und-proxyshell-neues-von-microsoft-und-sicherheitsspezialisten\/\">Exchange und ProxyShell: Neues von Microsoft und Sicherheitsspezialisten<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/10\/17\/tifanu-cup-2021-exchange-2019-und-iphone-gehackt\/\">Tianfu Cup 2021: Exchange 2019 und iPhone gehackt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/06\/babuk-gang-nutzt-proxyshell-schwachstelle-in-exchange-fr-ransomware-angriffe\/\">Babuk-Gang nutzt ProxyShell-Schwachstelle in Exchange f\u00fcr Ransomware-Angriffe<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/10\/exchange-server-november-2021-sicherheitsupdates-schlieen-rce-schwachstelle-cve-2021-423\/\">Exchange Server November 2021 Sicherheitsupdates schlie\u00dfen RCE-Schwachstelle CVE-2021-423<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/12\/bsi-cert-warnung-kompromittierte-exchange-server-werden-fr-e-mail-angriffe-missbraucht-nov-2021\/\">BSI\/CERT-Warnung: Kompromittierte Exchange-Server werden f\u00fcr E-Mail-Angriffe missbraucht (Nov. 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/18\/warnung-cert-bund-usa-gb-vor-angriffen-auf-exchange-und-fortinet\/\">Warnung (CERT-Bund, USA, GB) vor Angriffen auf Exchange und Fortinet<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/19\/proxynoshell-mandiant-warnt-vor-neuen-angriffsmethoden-auf-exchange-server-nov-2021\/\">ProxyNoShell: Mandiant warnt vor neuen Angriffsmethoden auf Exchange-Server (Nov. 2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Wie oft denn noch? Aktuell warne ich fast im Tagesrhythmus vor dem Betrieb ungepatchter Exchange-Schwachstellen und ProxyShell-Angriffen. Vor einigen Tagen hat Trend Micro eine Warnung vor Angriffen auf die ProxyShell-Schwachstellen \u00fcber den Squirrelwaffle-Exploit und der \u00dcbernahme der Exchange-E-Mail-Postf\u00e4cher gewarnt. Seit &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/11\/23\/warnung-proxyshell-squirrelwaffle-und-ein-poc-eploit-patcht-endlich-eure-exchange-server\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,185],"tags":[5359,4328,4315],"class_list":["post-259712","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-update","tag-exchange","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259712","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=259712"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259712\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=259712"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=259712"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=259712"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}