NSA entdeckt neue Sicherheitslücken, die Microsoft Exchange Server betreffen

Cyber Security News

Im Rahmen der April-Patches hat Microsoft Korrekturen für insgesamt 114 Sicherheitslücken veröffentlicht, darunter eine aktiv ausgenutzte Zero-Day-Schwachstelle und vier Fehler für Remote-Code-Ausführung in Exchange Server.

Von den 114 Schwachstellen sind 19 als kritisch, 88 als wichtig und eine als mittelschwer eingestuft.

Die wichtigste davon ist CVE-2021-28310, eine Schwachstelle zur Privilegienerweiterung in Win32k, die angeblich aktiv ausgenutzt wird und es Angreifern ermöglicht, ihre Privilegien zu erhöhen, indem sie bösartigen Code auf einem Zielsystem ausführen.

Die Cybersecurity-Firma Kaspersky, die die Schwachstelle im Februar entdeckte und an Microsoft meldete, brachte den Zero-Day-Exploit mit einem Bedrohungsakteur namens Bitter APT in Verbindung, der Ende letzten Jahres eine ähnliche Schwachstelle (CVE-2021-1732) in Angriffen ausnutzte.

[Blocked Image: https://thehackernews.com/images/-bvTgvb1scMU/YGXEzvWWDTI/AAAAAAAA3uU/FkCk24WAH8gQPV-lbOs4cDw_tp2ug151QCLcBGAsYHQ/s728-e100/thn-728-1.png]

“Es handelt sich um einen Escalation of Privilege (EoP)-Exploit, der wahrscheinlich zusammen mit anderen Browser-Exploits verwendet wird, um Sandboxen zu umgehen oder Systemprivilegien für weitere Zugriffe zu erhalten”, so Kaspersky-Forscher Boris Larin.

NSA fand neue Bugs, die Exchange Server betreffen

[Blocked Image: https://thehackernews.com/images/-8FoY65fokvw/YHZ2L3VP2bI/AAAAAAAACQ4/krAsXabe1VgmdxN0j2h4MtXElmsH8ApJACLcBGAsYHQ/s0/microsoft-exchnage.jpg]

Microsoft sagte auch, dass vier weitere Sicherheitslücken zum Zeitpunkt der Veröffentlichung öffentlich bekannt waren, aber nicht ausgenutzt wurden – CVE-2021-28458 – Azure ms-rest-nodeauth Library Elevation of Privilege Vulnerability CVE-2021-27091 – Sicherheitslücke im RPC-Endpunkt-Mapper-Dienst (Erhöhung der Berechtigung) CVE-2021-28437 – Sicherheitsanfälligkeit bei der Offenlegung von Windows-Installer-Informationen CVE-2021-28312 – Windows NTFS Denial-of-Service-Schwachstelle

Ebenfalls von Microsoft behoben wurden vier Schwachstellen für Remotecodeausführung (CVE-2021-28480 bis CVE-2021-28483), die Exchange Server 2013, 2016 und 2019 vor Ort betreffen und dem Unternehmen von der US-amerikanischen National Security Agency (NSA) gemeldet wurden. Zwei der Fehler bei der Codeausführung sind unauthentifiziert und erfordern keine Benutzerinteraktion und tragen einen CVSS-Score von 9,8 von maximal 10.

Während der Windows-Hersteller sagte, dass er keine Beweise für aktive Exploits in der freien Wildbahn gefunden hat, wird empfohlen, dass Kunden diese Updates so bald wie möglich installieren, um die Umgebung zu sichern, in Anbetracht der weit verbreiteten Exchange Server Hacks im letzten Monat und neuen Erkenntnissen, dass Angreifer versuchen, den ProxyLogon Exploit zu nutzen, um bösartige Kryptominers auf Exchange Servern zu verteilen, wobei die Nutzlast auf einem kompromittierten Exchange Server gehostet wird.

FBI entfernt Backdoors von gehackten MS Exchange-Servern

Darüber hinaus führte das U.S. Federal Bureau of Investigation (FBI) eine “erfolgreiche Aktion” durch, um Web-Shells zu “kopieren und zu entfernen”, die von Gegnern auf hunderten von Opfer-Computern unter Verwendung der ProxyLogon-Schwachstellen platziert wurden. “Das FBI führte die Entfernung durch, indem es einen Befehl über die Web-Shell an den Server erteilte, der den Server dazu veranlasste, nur die Web-Shell (identifiziert durch ihren eindeutigen Dateipfad) zu löschen”, so das Justizministerium in einer Erklärung, in der die gerichtlich autorisierte Operation detailliert beschrieben wird.

[Blocked Image: https://thehackernews.com/images/-P7kvKFVSqWU/YGXEz3gk_tI/AAAAAAAA3uY/qiCyRaK_IA07iGtzVQCOTsnjHTYGR_gKgCLcBGAsYHQ/s728-e100/thn-728-2.png]

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat die im letzten Monat herausgegebene Notfallanweisung ebenfalls überarbeitet und erklärt, dass “diese Schwachstellen ein inakzeptables Risiko für das Bundesunternehmen darstellen und eine sofortige Notfallmaßnahme erfordern”, während sie gleichzeitig davor warnt, dass die zugrundeliegenden Fehler durch Reverse-Engineering des Patches zu einer Waffe gemacht werden können, um einen Exploit zu erstellen.

Software-Patches von anderen Anbietern

Darüber hinaus behebt das April-Patch Tuesday-Update satte 27 RCE-Schwachstellen in der Remote Procedure Call (RPC)-Laufzeit, eine Hyper-V-Sicherheitsfeature-Bypass-Schwachstelle (CVE-2021-28444) sowie mehrere Schwachstellen zur Privilegienerweiterung in Windows Speech Runtime, Windows Services and Controller App, Windows Secure Kernel Mode, Windows Event Tracing und Windows Installer.

Neben Microsoft haben auch eine Reihe anderer Hersteller am Dienstag eine Reihe von Patches veröffentlicht – Adobe (Sicherheitsupdates für Photoshop, Digital Editions, RoboHelp und Bridge) DELL Linux-Distributionen SUSE, Oracle Linux und Red Hat SAP Schneider Electric, und Siemens

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com