Microsoft Exchange

Microsoft Exchange: kritische Sicherheitslücken im Microsoft Exchange-E-Mail-Server

Microsoft Exchange: kritische Sicherheitslücken im Microsoft Exchange-E-Mail-Server
Microsoft Exchange: kritische Sicherheitslücken im Microsoft Exchange-E-Mail-Server

Die Notfall-Patches für die kürzlich offenbarten kritischen Sicherheitslücken im Microsoft Exchange-E-Mail-Server kamen nicht früh genug, und Unternehmen hatten wenig Zeit, sich vorzubereiten, bevor die Massenausnutzung begann.

Buchempfehlung der Redaktion

Einfach bestellen: Bild anklicken und bei Amazon.de dein Buch bestellen*

Der Fehler mit dem Namen ProxyLogon (ProxyLogon Website) wurde bereits in der Wildnis ausgenutzt, bevor Microsoft den Schwachstellenbericht erhielt. Damit haben Angreifer einen zweimonatigen Vorsprung, um Ziele zu verletzen, bevor Sicherheitsupdates verfügbar wurden.

Gefährdete Server sind wichtige Ziele für ein breites Spektrum von Bedrohungsgruppen, die nach einem ersten Einstieg in ein Netzwerk für Spionage- oder Finanzzwecke suchen. Gegner des Nationalstaates, Ransomware-Banden und Cryptomining-Aktivitäten haben ProxyLogon bereits ausgenutzt.

Mit veröffentlichten Patches und PoC-Code (Proof-of-Concept), der den Code online nutzt, bleiben Tausende von Microsoft Exchange-Servern weltweit weiterhin anfällig, und die Anzahl der Angriffe ist immer noch besorgniserregend.

IT-Sicherheitsforscher melden: ProxyLogon-Bedrohung gefunden

Am 10. Dezember 2020 entdeckte der DEVCORE-Forscher Orange Tsai CVE-2021-26855, einen kritischen SSRF-Fehler (Server-Side Request Forgery), mit dem die Authentifizierung in Microsoft Exchange umgangen werden kann.

DEVCORE nannte den Fehler ProxyLogon und Ende Dezember fand Tsai einen zweiten CVE-2021-27065, mit dem Remotecodeausführung erreicht werden konnte.

Der Forscher leitete am 5. Januar 2021 einen Bericht an Microsoft weiter, zusammen mit einem Exploit, der die beiden Mängel verkettet, um die Gültigkeit seiner Ergebnisse zu beweisen.

Welche Versionen von Exchange Server sind betroffen?

Da der Fehler auf eine signifikante Kompromittierung der Client Access Service-Architektur unter Exchange Server 2013 und der älteren Version zurückzuführen ist, wurde Exchange Server 2010 im Oktober 2020 nicht mehr unterstützt.

Laut Microsoft sind die Exchange-Server-Versionen 2013, 2016 und 2019 betroffen, die selbst gehostet werden. Allerdings der Exchange-Cloud-Service von Microsoft sei explizit nicht betroffen.
Alle Mainstream-Support-Exchange Server sind anfällig!

Die genaue Tabelle der anfälligen Versionen:

  • Exchange Server 2019 <15.02.0792.010
  • Exchange Server 2019 <15.02.0721.013
  • Exchange Server 2016 <15.01.2106.013
  • Exchange Server 2013 <15.00.1497.012

Deutsche Unternehmen sind häufiger von den Angriffen betroffen

Laut BSI und des IT-Dienstleisters Shodan sind zehntausende Exchange-Server in Deutschland sind über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Es Betrifft Unternehmen und Organisationen jeder Größe. Mehr Informationen gibt es auf der BSI-Seite: Kritische Schwachstellen in Exchange-Servern

Microsoft Exchange ProxyLogon-Angriffe

Letzte Woche hat Microsoft Out-of-Band-Sicherheitsupdates für die ProxyLogon-Sicherheitsanfälligkeit veröffentlicht, die von Bedrohungsakteuren weltweit aktiv verwendet werden, um Microsoft Exchange-Server zu gefährden.

Bedrohungsakteure nutzen diese Sicherheitsanfälligkeiten auf öffentlich zugänglichen Outlook on the Web-Servern (OWA) aus, um Web-Shells und andere Malware zu installieren.

Diese Schwachstellen werden mit den folgenden CVEs verfolgt:

  • CVE-2021-26855 – Sicherheitsanfälligkeit bezüglich der Remotecodeausführung von Microsoft Exchange Server
  • CVE-2021-26857 – Sicherheitsanfälligkeit bezüglich der Remotecodeausführung von Microsoft Exchange Server
  • CVE-2021-26858 – Sicherheitsanfälligkeit bezüglich der Remotecodeausführung von Microsoft Exchange Server
  • CVE-2021-27065 – Sicherheitsanfälligkeit bezüglich der Remotecodeausführung von Microsoft Exchange Server
  • Microsoft hat Sicherheitsupdates für derzeit unterstützte kumulative Microsoft Exchange-Updates und ältere nicht unterstützte Versionen veröffentlicht.

Während der Installation der Updates wird verhindert, dass der Server gefährdet wird. Angriffe waren so weit verbreitet, dass Administratoren alle Exchange-Server auf Angriffe analysieren sollten, die möglicherweise vor der Installation der Patches aufgetreten sind.

Das eigenständige Microsoft Safety Scanner (MSERT)-Tool wurde aktualisiert, um Web-Shells und andere IOCs für Benutzer zu erkennen, die Microsoft Defender nicht verwenden.

Mit den Fixes für die Zero-Days hat Microsoft auch Fixes für drei Microsoft Exchange-Schwachstellen veröffentlicht, die bei Angriffen nicht ausgenutzt wurden:

  • CVE-2021-26412 – Sicherheitsanfälligkeit bezüglich der Remotecodeausführung von Microsoft Exchange Server
  • CVE-2021-26854 – Sicherheitsanfälligkeit bezüglich der Remotecodeausführung von Microsoft Exchange Server
  • CVE-2021-27078 – Sicherheitsanfälligkeit bezüglich der Remotecodeausführung von Microsoft Exchange Server

Zwei weitere Zero-Day-Schwachstellen wurden behoben

Microsoft hat heute zwei weitere Zero-Day-Sicherheitslücken behoben, von denen eine öffentlich für Angriffe verwendet wird.

Im Januar gab Google bekannt, dass die Lazarus-Gruppe Angriffe gegen Sicherheitsforscher mit kompromittierten Visual Studio-Projekten und unbekannten Zero-Day-Exploits durchführte.

Im Februar gab das südkoreanische Cybersicherheitsunternehmen Enki bekannt, dass die Bedrohungsakteure bei den Angriffen eine Zero-Day-Sicherheitsanfälligkeit im Internet Explorer verwendet haben, um benutzerdefinierte Hintertüren zu installieren.

Diese Sicherheitsanfälligkeit, die als “CVE-2021-26411 – Sicherheitsanfälligkeit bezüglich Speicherbeschädigung
im Internet Explorer” verfolgt wird, wurde heute behoben.

Eine weitere Zero-Day-Sicherheitsanfälligkeit, die heute behoben wurde, wird als “CVE-2021-27077 – Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen durch Windows Win32k” nachverfolgt.

Diese Sicherheitsanfälligkeit wurde von der Trend Micro Zero Day Initiative im Januar öffentlich bekannt gegeben, nachdem Microsoft ursprünglich erklärt hatte, dass sie diese nicht beheben würden.

Wie kann ich diesen Fehler abmildern?

Microsoft hat am 03. März 2021 ein Sicherheitsupdate veröffentlicht, um diese Sicherheitsanfälligkeit zu beheben. Bitte aktualisiert eure Exchange Server so schnell wie möglich!

Die Sicherheitsupdates für den Patch Tuesday vom März 2021

Unten findet ihr die vollständige Liste der behobenen Sicherheitsanfälligkeiten und veröffentlichten Hinweise
in den Patch Tuesday-Updates vom März 2021.

Microsoft Exchange ServerCVE-2021-26412Microsoft Exchange Server Remote Code Execution VulnerabilityCritical
Microsoft Exchange ServerCVE-2021-27065Microsoft Exchange Server Remote Code Execution VulnerabilityCritical
Microsoft Exchange ServerCVE-2021-27078Microsoft Exchange Server Remote Code Execution VulnerabilityImportant
Microsoft Exchange ServerCVE-2021-26854Microsoft Exchange Server Remote Code Execution VulnerabilityImportant
Microsoft Exchange ServerCVE-2021-26857Microsoft Exchange Server Remote Code Execution VulnerabilityCritical
Microsoft Exchange ServerCVE-2021-26855Microsoft Exchange Server Remote Code Execution VulnerabilityCritical
Microsoft Exchange ServerCVE-2021-26858Microsoft Exchange Server Remote Code Execution VulnerabilityImportant

BSI: offizielle Vorgehensweise

Die im Folgenden beschriebenen Methoden lassen sich zum Teil automatisiert durch Skripte und geeignete
Software überprüfen. Dazu zählen z.B.:

1. Microsoft Test Skript

Microsoft Test Skript: https://github.com/microsoft/CSS-Exchange/tree/main/Security Das Tool enthält alle IOCs, die in dem Microsoft Blogpost beschrieben werden:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
Hinweis: Achten Sie darauf immer die neueste Version des Skripts zu verwenden, da Microsoft bereits mehrere Updates veröffentlicht hat.


2. Microsoft Support Emergency Response Tool (MSERT):

Microsoft Defender hat den Microsoft Safety Scanner (MSERT.exe) aktualisiert, um mögliche Ausnutzungen der Microsoft Exchange Schwachstellen zu detektieren. Das Tool kann von Administratoren für Server genutzt werden, die nicht von Microsoft Defender geschützt werden (Hinweis: Das Tool muss mit dem Argument „/N“ gestartet werden, wenn
eventuelle Funde nicht direkt gelöscht werden sollen: msert.exe /N): https://msrcblog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/

3. Exchange On-premises Mitigation Tool

Am 15.03.2021 hat Microsoft unter dem zuvor genannten Link das Exchange On-premises Mitigation Tool (EOMT) bereitgestellt, dass das o. g. MSERT enthält. Es dient nicht als Ersatz für die Sicherheitsupdates, kann jedoch bis zur Installation dieser zum Einsatz kommen. Auch die Suche nach Webshells und weiteren Infektionen ist weiter zwingend notwendig, sonst droht ein späteres Nachladen weiterer Schadprogramme (z. B. Ransomware).

4. Microsoft IOC Feed

Microsoft IOC Feed: Microsoft veröffentlicht bekannte Hashes und maliziöse Dateipfade in einem eigenen Feed. Die Daten sind in JSON und CSV erhältlich:
https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Sample%20Data/Feeds/MSTICIoCsExchangeServerVulnerabilitiesDisclosedMarch2021.csv und
https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Sample%20Data/Feeds/MSTICIoCsExchangeServerVulnerabilitiesDisclosedMarch2021.json

5. MISP-Event

MISP: Organisationen, die in einem Malware Information Sharing Portal (MISP) Verbund angeschlossen sind, finden im MISP-Event “HAFNIUM – Mass attack on Microsoft Exchange Servers”
(UUID: b7636c3e-a515-436b-a646-5ebd750df006) weitere Informationen.

6. Sigma

Das Sigma Team hat eine Regel veröffentlicht, welche zur Detektion der Exchange Schwachstellen
genutzt werden kann:
https://github.com/SigmaHQ/sigma/blob/master/rules/web/web_exchange_exploitation_hafnium.yml

7. YARA

YARA: Siehe [Rot2021a], [Rot2021b] und [Rup2021]. Als Alternative können auch die Yara Scanner Thor Lite2
(https://www.nextron-systems.com/thor-lite/) oder Loki (https://github.com/Neo23x0/Loki)
genutzt werden

8. CERT.LV

CERT.LV Detektions-Skript für Webshells: Das lettische CERT hat ebenfalls ein eigenes Skript veröffentlicht, mit welchem nach Webshells im Kontext Hafnium gesucht werden kann:
https://github.com/cert-lv/exchange_webshell_detection

9. Logsuche

Logsuche mit Bordmitteln: Eric Capuano hat einige Beispielaufrufe bereitgestellt, die zur ersten schnellen Suche in Logs genutzt werden können:
https://gist.github.com/ecapuano/13386852fb80beac4561f2bed569095e

10. Veränderte Verzeichnisberechtigungen

Veränderte Verzeichnisberechtigungen: Frank Zöchling stellt veränderte Verzeichnisberechtigungen nach erfolgreichen Exchange-Server Kompromittierung dar, die bei der Installation von ExchangeUpdates zu Fehlermeldungen führen können. Bei geänderten Verzeichnisrechten ist von einer erfolgreichen Kompromittierung auszugehen:
https://www.frankysweb.de/hafnium-veraenderte-verzeichnisberechtigungen-verhindern-update/

11. Übersicht der Exchange Schwachstellen

Eine deutschsprachige Übersicht der Exchange Schwachstellen, Sicherheitsupdates und Mitigationsmaßnahmen findet sich zudem unter: https://www.msxfaq.de/exchange/update/hafniumexploit.htm

BSI: Quelle zum Dokument: hier

(Visited 21 times, 1 visits today)

Post Comment

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Zur Datenschutzerklärung

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen