{"id":273755,"date":"2022-10-11T17:46:37","date_gmt":"2022-10-11T15:46:37","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=273755"},"modified":"2023-05-06T14:27:30","modified_gmt":"2023-05-06T12:27:30","slug":"exchange-server-neue-0-day-nicht-notproxyshell-cve-2022-41040-cve-2022-41082","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/10\/11\/exchange-server-neue-0-day-nicht-notproxyshell-cve-2022-41040-cve-2022-41082\/","title":{"rendered":"Exchange Server: Neue 0-day (nicht NotProxyShell, CVE-2022-41040, CVE-2022-41082)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Exchange Logo\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2022\/06\/Exchange.jpg\" alt=\"Exchange Logo\" width=\"168\" height=\"147\" align=\"left\" border=\"0\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/10\/11\/exchange-server-neue-0-day-nicht-notproxyshell-cve-2022-41040-cve-2022-41082\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Wir werden in wenigen Stunden wohl Sicherheitsupdates f\u00fcr On-Premises Exchange Server (2016-2019) bekommen, die hoffentlich die seit Ende September 2022 bekannten zwei 0-Day-Schwachstellen (CVE-2022-41040, CVE-2022-41082) schlie\u00dfen. Aber es ist vermutlich noch eine weiterer 0-day Schwachstelle in Exchange Server enthalten, die aktiv in freier Wildbahn ausgenutzt wird, um die Installationen mit der LockBit 3.0-Ransomware zu infizieren. Hier einige Informationen, was mir bekannt ist.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/d26969f9c0414d43bce77671cfd2e177\" alt=\"\" width=\"1\" height=\"1\" \/>Die letzte Woche hat die NotProxyShell genannte Schwachstelle &#8211; durch die bisher ungepatchten Schwachstellen (CVE-2022-41040, CVE-2022-41082) &#8211; ja Administratoren arg besch\u00e4ftigt. Ich hatte hier im Blog ausgiebig \u00fcber diesen Sachverhalt berichtet (siehe Links am Artikelende). Aber da schlummert noch mehr im Microsofts Exchange Server-Software.<\/p>\n<h2>Neue 0-day-Schwachstelle entdeckt<\/h2>\n<p>Ich bin gerade auf Twitter \u00fcber nachfolgenden <a href=\"https:\/\/twitter.com\/SecuriTears\/status\/1579797071733100544\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> darauf gesto\u00dfen, dass es eine weitere, neue 0-day-Schwachstelle in Exchange Server gibt. Entdeckt wurde diese im Juni 2022 von <a href=\"https:\/\/de.wikipedia.org\/wiki\/AhnLab\" target=\"_blank\" rel=\"noopener\">AhnLab<\/a>, einem s\u00fcdkoreanischen Softwareunternehmen und Marktf\u00fchrer bei Antivirenprogrammen in S\u00fcdkorea.<\/p>\n<p><a href=\"https:\/\/twitter.com\/SecuriTears\/status\/1579797071733100544\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"0 day in MS Exchange, not CVE-2022-41040, CVE-2022-41082\" src=\"https:\/\/i.imgur.com\/380OC2x.png\" alt=\"0 day in MS Exchange, not CVE-2022-41040, CVE-2022-41082\" \/><\/a><\/p>\n<p>Deren Sicherheitsforscher beschreiben die Fund im Blog-Beitrag Von der Exchange Server-Schwachstelle bis zur Ransomware-Infektion in nur 7 Tagen (auf koreanisch verfasst). Im Juli 2022 wurde ein Kunde des Anbieters durch\u00a0 Ransomware infiziert. AhnLab hat dann zwei der betroffenen Server, die mit Windows Server 2016 Standard liefen, inspiziert und fand dort die Ransomware LockBit 3.0 vor. Hier ein grober \u00dcberblick des Schadensverlaufs:<\/p>\n<ul>\n<li>Auf den infizierten Systemen mit Windows Server 2016 wurde eine WebShell unter Verwendung einer Exchange Server-Schwachstelle installiert<\/li>\n<li>Diese erm\u00f6glichte eine RDP-Verbindung \u00fcber SSH-Tunneling<\/li>\n<li>Dann wurden per <a href=\"https:\/\/github.com\/BloodHoundAD\/BloodHound\" target=\"_blank\" rel=\"noopener\">BloodHound<\/a> Informationen \u00fcber das AD abgerufen<\/li>\n<li>Im Anschluss wurden mit Mimikatz Informationen \u00fcber AD-Administratorkonten extrahiert<\/li>\n<\/ul>\n<p>Die LockBit 3.0 Ransomware konnte ca. 1,3 TB an Daten von den Servern abrufen und verschl\u00fcsselte dann die Dateien dieser Systeme. AhnLabs schreibt, dass der WebShell-Upload vermutlich durch eine 0-Day-Schwachstelle erfolgen konnte. F\u00fcr die WebShell-Aufrufe wurden mehrere VPN-IPs verwendet. Alle Remote-Befehle zur Kontrolle der LockBit3.0 Ransomware-Infektion wurden mittels Wmic ausgef\u00fchrt.<\/p>\n<p>Laut AhnLabs dauerte es lediglich sieben (7) Tage vom Hochladen der WebShell bis zur \u00dcbernahme des AD-Administratorkontos und der Infektion mit Ransomware. Laut den Sicherheitsforschern soll der Angreifer soll russischer Abstammung sein.<\/p>\n<h2>Noch einige Einzelheiten<\/h2>\n<p>Der betroffene Kunde betreibt zwei Mailserver f\u00fcr den E-Mail-Dienst und sorgt f\u00fcr einen Lastenausgleich der Mailserververbindungen zu Mail01 und Mail02, indem er den L4-Switch in der Frontstage verwendet. Mail01 und Mail02 sind Microsoft Exchange Server, und der IIS-Server wird ebenfalls genutzt, um den Mail-Webdienst und einen mobilen Zugriff bereitzustellen.<\/p>\n<p>Am 21. Juli 2022 wurden (vermutlich) WebShell-Dateien in den OWA-Ordner auf Mail02 hochgeladen. Die WebShell-Dateien wurden sp\u00e4ter verschl\u00fcsselt, so dass deren Inhalt nicht mehr analysiert werden konnte. Im IIS-Protokoll wurde eine der beiden WebShell-Dateien als <em>HttpRedirService.aspx <\/em>identifiziert (weshalb die Sicherheitsforscher von WebShells ausgehen).<\/p>\n<p>Der Kunde war bereits im Dezember 2021 durch Microsoft Exchange Server-Schwachstellen kompromittiert worden. Seitdem erhielt dieser Kunde technischen Support von Microsoft und f\u00fchrte viertelj\u00e4hrlich (Januar, April, Juli) Sicherheitspatches durch. Der neueste Patch war seinerzeit Update KB5014261, welches am 10. Mai 2022 ver\u00f6ffentlicht und vom Kunden am 9. Juli installiert wurde. AhnLabs schreibt dazu:<\/p>\n<blockquote><p>Betrachtet man den Schwachstellenverlauf von Microsoft Exchange Server, so wurde die Schwachstelle bez\u00fcglich Remotecodeausf\u00fchrung am 16. Dezember 2021 (CVE-2022-21969), die Schwachstelle bez\u00fcglich der Rechteausweitung im Februar 2022 und die j\u00fcngste Schwachstelle am 27. Juni bekannt gegeben.<\/p>\n<p>Das hei\u00dft, unter den nach Mai offengelegten Schwachstellen gab es keine Berichte \u00fcber Schwachstellen im Zusammenhang mit Remote-Befehlen oder der Dateierstellung.<\/p><\/blockquote>\n<p>Da die Exchange-Server am 9. Juli 2022 vollst\u00e4ndig gepatcht waren, die WebShell aber erst am 21. Juli 2022 installiert wurde, ist davon auszugehen, dass der Angreifer eine nicht offengelegte Zero-Day-Schwachstelle ausgenutzt hat. AhnLabs schreibt, dass theoretisch die M\u00f6glichkeit besteht, dass die von dem vietnamesischen Sicherheitsunternehmen GTSC am 28. September offengelegten Schwachstellen von Microsoft Exchange Server (CVE-2022-41040, CVE-2022-41082) f\u00fcr die Infektion ausgenutzt wurden. Aber die Angriffsmethode, der generierte WebShell-Dateiname, und nachfolgende Angriffe nach der Installation der WebShell lassen vermuten, dass ein anderer Angreifer eine andere Zero-Day-Schwachstelle ausgenutzt hat.<\/p>\n<blockquote><p>PS: Hat mit dem aktuellen Fall nichts zu tun &#8211; aber ich verweise mal auf <a href=\"https:\/\/borncity.com\/blog\/2020\/11\/07\/ragnar-locker-ransomware-infektion-bei-campari\/#comment-133431\">diese Kommentare<\/a> zu meinem Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/11\/07\/ragnar-locker-ransomware-infektion-bei-campari\/\">Ragnar Locker Ransomware-Infektion bei Campari-Gruppe<\/a>. Ein betroffener Administrator beschreibt seine Erfahrungen mit der Ragnar Locker-Ransomware-Infektion in seinem Unternehmen. Interessant ist sein Hinweis, warum die angelegten AD-Benutzer (printer) nicht gefunden wurden.<\/p><\/blockquote>\n<p><strong>Artikelreihe:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/09\/30\/exchange-server-werden-ber-0-day-exploit-angegriffen-29-sept-2022\/\">Exchange Server werden \u00fcber 0-day Exploit angegriffen (29. Sept. 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/09\/30\/microsofts-empfehlungen-fr-die-exchange-server-0-day-schwachstelle-zdi-can-18333\/\">Microsofts Empfehlungen f\u00fcr die Exchange Server 0-day-Schwachstelle ZDI-CAN-18333<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/10\/01\/neues-zur-exchange-server-0-day-schwachstelle-zdi-can-18333-korrekturen-scripte-und-ep-lsung\/\">Neues zur Exchange Server 0-day-Schwachstelle ZDI-CAN-18333: Korrekturen, Scripte und EMS-L\u00f6sung<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/10\/04\/exchange-server-microsofts-0-day-schutz-aushebelbar-neue-einschtzungen-3-oktober-2022\/\">Exchange Server: Microsofts 0-day-Schutz aushebelbar, neue Einsch\u00e4tzungen (3. Oktober 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/10\/05\/exchange-server-microsofts-bessert-lsungen-fr-0-day-schutz-nach-5-oktober-2022\/\">Exchange Server: Microsofts bessert L\u00f6sungen f\u00fcr 0-day-Schutz nach (5. Oktober 2022)<\/a><\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/13\/exchange-2016-2019-outlook-probleme-durch-amsi-integration\/\">Exchange 2016\/2019: Outlook-Probleme durch AMSI-Integration<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/09\/27\/exchange-server-september-2021-cu-kommt-zum-28-9-2021-mit-microsoft-exchange-emergency-mitigation-service\/\">Exchange Server September 2021 CU kommt zum 28.9.2021 mit Microsoft Exchange Emergency Mitigation Service<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/08\/30\/exchange-extended-protection-checkliste-und-probleme\/\">Exchange: Extended Protection, Checkliste und Probleme<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/09\/16\/update-fr-exchange-extended-protection-script-aber-weiterhin-fehler\/\">Update f\u00fcr Exchange Extended Protection-Script, aber weiterhin Fehler<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/09\/29\/exchange-health-checker-script-erweiterungen-von-frank-zchling\/\">Exchange Health Checker \u2013 Script-Erweiterungen von Frank Z\u00f6chling<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Wir werden in wenigen Stunden wohl Sicherheitsupdates f\u00fcr On-Premises Exchange Server (2016-2019) bekommen, die hoffentlich die seit Ende September 2022 bekannten zwei 0-Day-Schwachstellen (CVE-2022-41040, CVE-2022-41082) schlie\u00dfen. Aber es ist vermutlich noch eine weiterer 0-day Schwachstelle in Exchange Server enthalten, die &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/10\/11\/exchange-server-neue-0-day-nicht-notproxyshell-cve-2022-41040-cve-2022-41082\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[5359,4328],"class_list":["post-273755","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273755","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=273755"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273755\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=273755"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=273755"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=273755"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}