{"id":276381,"date":"2022-12-28T14:09:54","date_gmt":"2022-12-28T13:09:54","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=276381"},"modified":"2022-12-28T19:45:12","modified_gmt":"2022-12-28T18:45:12","slug":"droht-eine-exchange-proxynotshell-katastrophe-zum-jahreswechsel-2022-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/12\/28\/droht-eine-exchange-proxynotshell-katastrophe-zum-jahreswechsel-2022-2023\/","title":{"rendered":"Droht eine Exchange ProxyNotShell-Katastrophe zum Jahreswechsel 2022\/2023?"},"content":{"rendered":"

\"Exchange[English<\/a>]Beunruhigende Informationen, die mich gerade erreicht haben. Nicht auf dem aktuellen Patchstand befindliche Microsoft Exchange On-Premises-Server sind anf\u00e4llig f\u00fcr Angriffe \u00fcber die ProxyNotShell-Schwachstellen. Vor Weihnachten gab es dann die Information, dass die Hackergruppe FIN7 seit l\u00e4ngerem eine automatisierte Angriffsplattform zum Eindringen in verwundbare Exchange-Server aufgesetzt habe. Und nun erreicht mich die Information, dass m\u00f6glicherweise bis zu 70.000 Exchange-Server weltweit verwundbar f\u00fcr FIN7 ProxyNotShell-Angriffe sind. Ich habe mal f\u00fcr Deutschland nachgeschaut, mit \u00fcber 13.000 Systemen sind wir \"Spitzenreiter\" in Europa.<\/p>\n

<\/p>\n

Exchange und ProxyNotShell<\/h2>\n

\"\"Ende September 2022 wurde eine neue 0-Day-Exploit-Methode (ProxyNotShell) f\u00fcr On-Premises Exchange Server gefunden, f\u00fcr die Microsoft im Oktober 2022 gleich mehrere URL-Rewrite-Regeln als vorl\u00e4ufigen Schutz ver\u00f6ffentlichte (siehe Microsofts Empfehlungen f\u00fcr die Exchange Server 0-day-Schwachstelle ZDI-CAN-18333<\/a>\u00a0 und die restlichen Artikel am Beitragsende). Microsoft hat dann im November 2022 ein Sicherheitsupdate zum Schlie\u00dfen der Schwachstellen ver\u00f6ffentlicht (siehe Exchange Server Sicherheitsupdates (8. November 2022)<\/a>).<\/p>\n

Auf Microsoft Exchange-Servern, die nicht auf dem neuen Patch-Stand sind, besteht das Risiko, dass Angreifer die ProxyNotShell-Schwachstellen CVE-2022-41040 und CVE-2022-41082 als Eintrittsvektor f\u00fcr Microsoft Exchange Server missbrauchen. Vor Weihnachten hatte ich \u00fcber einen vermuteten neuen Angriffsvektor berichtet, den die Play Ransomware-Gruppe f\u00fcr erfolgreiche Angriffe \u00fcber die ProxyNotShell-Schwachstellen benutzt (siehe Microsoft Exchange: Neue OWASSRF-Exploit-Methode (ProxyNotShell) durch Play-Ransomware<\/a>).<\/p>\n

FIN7-Gruppe erstellt Auto-Angriffsplattform<\/h2>\n

FIN7<\/a> ist eine russische Advanced Persistent Threat (APT) Gruppe, die seit Mitte 2015 verst\u00e4rkt den US-Einzelhandels-, Restaurant- und Gastgewerbesektor ins Visier nimmt. Ein Teil von FIN7 wird von der Scheinfirma Combi Security und Bastion Secure betrieben, wie AVAST in diesem Beitrag<\/a> offen legt. Es gab zwar Verhaftungen von Gruppenmitgliedern im Jahr 2018 – Sicherheitsforscher von Kaspersky haben aber weitere Angriffe und auch eine Kooperation mit der auf Banken spezialisierten Carbanak-Cybergang\u00a0 beobachtet<\/a>.<\/p>\n

Von Prodraft gibt es einen Artikel<\/a> vom 22. Dezember 2022, der viele interne Abl\u00e4ufe der Gruppe offen legt. Die Kollegen von Bleeping Computer haben dann diese Erkenntnisse in diesem Beitrag<\/a> aufbereitet. Die Kurzfassung: Von Prodraft wurde ein \"Checkmarks\" getauftes automatisches Angriffssystem entdeckt, welches einen Scanner f\u00fcr Microsoft Exchange-Schwachstellen wie CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207 enth\u00e4lt. Die Gruppe verwendet den Scanner, um Exchange Server aufzusp\u00fcren, die hinsichtlich obiger Schwachstellen angreifbar sind.<\/p>\n

Die Schwachstellen erm\u00f6glichen die Ausf\u00fchrung von Remotecode und die Erh\u00f6hung von Berechtigungen. \u00dcber verschiedene\u00a0 Exploits versucht FIN7 sich dann Zugang zu den Zielnetzwerken \u00fcber die angegriffenen Exchange-Server zu verschaffen. Die Checkmarks-Angriffsplattform enth\u00e4lt auch ein SQL-Injektionsmodul, das SQLMap verwendet, um nach potenziell ausnutzbaren Schwachstellen auf der Website eines Ziels zu suchen.<\/p>\n

Auf diese Weise gefundene, neue Opfer werden automatisch zu einem zentralen Panel hinzugef\u00fcgt. Dort k\u00f6nnen FIN7-Hacker zus\u00e4tzliche Details \u00fcber den kompromittierten Endpunkt abfragen. In weiteren Schritten erg\u00e4nzen weitere Team-Mitglieder die Eintr\u00e4ge um \"Marketing\"-Material wie Eink\u00fcnfte der Opfer, Anzahl der Mitarbeiter, Details zum Unternehmen etc. Wird ein Unternehmen als lukrativer Kandidat eingestuft, geben Pentester Hinweise f\u00fcr einen m\u00f6glichen Angriff. Die FIN7-Gruppe verf\u00fcgt also \u00fcber eine ausgekl\u00fcgelte Organisationsstruktur, um ihre Angriffsziele auszuw\u00e4hlen.<\/p>\n

Laut Prodaft wurde die Checkmarks-Plattform von FIN7 bereits genutzt, um 8.147 Unternehmen (aus 1,8 Millionen gescannter Ziele) zu infiltrieren. Dabei laufen 16,7 % der infizierten Systeme in den USA. Inzwischen gibt es einen Bericht der Sentinel Labs von November 2022, dass die FIN7-Gruppe mit der Black-Basta-Ransomware-Bande in Verbindung steht. Und das Sicherheitsunternehmen Mandiant hat\u00a0 bereits im April 2022 FIN7 mit Darkside-Operationen in Verbindung gebracht.<\/p>\n

Dar\u00fcber hinaus fanden Sicherheitsforscher in den abgerufenen Jabber-Protokollen zahlreiche Beweise f\u00fcr die Kommunikation mit mehreren Ransomware-Gangs, darunter Darkside, REvil und LockBit. FIN7 und deren \"Checkmarks\" Angriffssystem haben also das Potential f\u00fcr gr\u00f6\u00dfere Ransomware-Angriffswellen auf \u00fcber per Sicherheitsl\u00fccken angreifbare Exchange Server.<\/p>\n

ProxyNotShell: 70.000 verwundbare Exchange-Server<\/h2>\n

Und dann ist mir von Shadowserver noch ein Tweet unter die Augen gekommen, die das Internet nach f\u00fcr die ProxyNotShell-Schwachstelle CVE-2022-4108 anf\u00e4lligen Microsoft Exchange-Servern scannen.<\/p>\n

\"Exchange<\/a><\/p>\n

Das Ergebnis dieser Scans ist, dass fast 70.000 Exchange Server weltweit gefunden wurden, die wohl keine Patches zum Schlie\u00dfen der ProxyNotShell-Schwachstelle CVE-2022-4108 bekommen haben. Es gibt zwar eine gewisse Unsicherheit, weil nur bestimmte Versionsinformationen abgefragt wurden. Ich hatte k\u00fcrzlich im Blog-Beitrag \u00c4rger: Schweizer NCSC informiert Kunden \u00fcber unsicherere Exchange Server (Dez. 2022)<\/a> berichtet, dass es bei einigen Kunden in der Schweiz da bez\u00fcglich einer Warnung der Schweizer Sicherheitsbeh\u00f6rde NCSC gab.<\/p>\n

Sind die Exchange-Server nicht auf dem Patchstand von November 2022<\/a>, sollte aber vorsorglich davon ausgegangen werden, dass sie bereits angegriffen und kompromittiert wurden. Das gilt auch, wenn die von Microsoft vorgeschlagenen URL-Rewrite-Regeln zur Abwehr von ProxyNotShell-Angriffen gesetzt sind. Denn ich hatte im Artikel Microsoft Exchange: Neue OWASSRF-Exploit-Methode (ProxyNotShell) durch Play-Ransomware<\/a> erw\u00e4hnt, dass diese Regeln durch neue Exploit-Methoden wohl umgangen werden k\u00f6nnen.<\/p>\n

\"Angreifbare<\/p>\n

Aktuelle Daten angreifbarer Exchange Server lassen sich im Shadowserver-Dashboard<\/a> abrufen. Ich habe in obigem Bild die Zahlen vom 27. Dezember 2022 f\u00fcr Europa anzeigen lassen. Mit \u00fcber 13.000 Eintr\u00e4gen liegt Deutschland weit vor anderen EU-L\u00e4ndern an der Spitze. Bleibt zu hoffen, dass die On-Premises Exchange Server der Blog-Leserschaft gepatcht und sauber sind.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nExchange Server werden \u00fcber 0-day Exploit angegriffen (29. Sept. 2022)<\/a>
\nExchange Server: Neue 0-day (nicht NotProxyShell, CVE-2022-41040, CVE-2022-41082)<\/a>
\nMicrosofts Empfehlungen f\u00fcr die Exchange Server 0-day-Schwachstelle ZDI-CAN-18333<\/a>
\nNeues zur Exchange Server 0-day-Schwachstelle ZDI-CAN-18333: Korrekturen, Scripte und EMS-L\u00f6sung<\/a>
\nExchange Server: Microsofts 0-day-Schutz aushebelbar, neue Einsch\u00e4tzungen (3. Oktober 2022)<\/a>
\nExchange Server: Microsofts bessert L\u00f6sungen f\u00fcr 0-day-Schutz nach (5. Oktober 2022)<\/a>
\nExchange Server: Microsofts bessert L\u00f6sungen f\u00fcr 0-day-Schutz nach (8. Oktober 2022)<\/a>
\nExchange Server Sicherheitsupdates (11. Oktober 2022)<\/a>
\nExchange Server Sicherheitsupdates (8. November 2022)<\/a><\/p>\n

Ransomware-Angriff f\u00fcr Ausfall der Rackspace-Exchange-Instanzen im Dez. 2022 verantwortlich<\/a>
\n\u00c4rger: Schweizer NCSC informiert Kunden \u00fcber unsicherere Exchange Server (Dez. 2022)<\/a>
\nMicrosoft Exchange: Neue OWASSRF-Exploit-Methode (ProxyNotShell) durch Play-Ransomware<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Beunruhigende Informationen, die mich gerade erreicht haben. Nicht auf dem aktuellen Patchstand befindliche Microsoft Exchange On-Premises-Server sind anf\u00e4llig f\u00fcr Angriffe \u00fcber die ProxyNotShell-Schwachstellen. Vor Weihnachten gab es dann die Information, dass die Hackergruppe FIN7 seit l\u00e4ngerem eine automatisierte Angriffsplattform zum … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[5359,4328],"class_list":["post-276381","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276381","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=276381"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276381\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=276381"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=276381"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=276381"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}