FBI löscht ProxyLogon-Web-Shells von Hunderten von Orgs

Cyber Security News

In einer veritablen Cyber-SWAT-Aktion entfernte das FBI die Infektionen aus der Ferne, ohne die Unternehmen vorher zu warnen.

Das FBI hat bösartige Web-Shells von Hunderten von anfälligen Computern in den USA entfernt, die über die inzwischen berüchtigten ProxyLogon-Schwachstellen in Microsoft Exchange kompromittiert worden waren.

ProxyLogon umfasst eine Gruppe von Sicherheitsfehlern, die die On-Premises-Versionen der Microsoft Exchange Server-Software für E-Mails betreffen. Microsoft warnte letzten Monat, dass die Fehler aktiv von der Advanced Persistent Threat (APT) Hafnium ausgenutzt werden; danach sagten andere Forscher, dass 10 oder mehr zusätzliche APTs sie ebenfalls nutzen.

ProxyLogon besteht aus vier Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065), die miteinander verkettet werden können, um einen RCE-Exploit (Remote Code Execution vor der Authentifizierung) zu erstellen – was bedeutet, dass Angreifer Server übernehmen können, ohne gültige Anmeldedaten zu kennen. Dadurch erhalten sie Zugriff auf die E-Mail-Kommunikation und die Möglichkeit, eine Web-Shell zu installieren, um die Umgebung weiter auszunutzen, z. B. für die Bereitstellung von Ransomware.

Obwohl die Patching-Levels beschleunigt wurden, hilft dies den bereits kompromittierten Computern nicht.

“Viele Besitzer infizierter Systeme haben die Web-Shells erfolgreich von Tausenden von Computern entfernt”, erklärte das Justizministerium in einer Mitteilung vom Dienstag. “Andere schienen dazu nicht in der Lage zu sein, und Hunderte solcher Web-Shells blieben ungemildert bestehen.”

Dieser Zustand veranlasste das FBI zum Handeln; in einer gerichtlich autorisierten Aktion gab es eine Reihe von Befehlen über die Web-Shells an die betroffenen Server aus. Die Befehle waren so konzipiert, dass der Server nur die Web-Shells (identifiziert durch ihren eindeutigen Dateipfad) löschen sollte. Die betroffenen Organisationen wurden nicht im Voraus benachrichtigt, aber die Behörden sagten, dass sie jetzt Benachrichtigungen verschicken würden.

“Die heutige gerichtlich genehmigte Entfernung der bösartigen Web-Shells zeigt das Engagement des Ministeriums zur Unterbrechung von Hacking-Aktivitäten mit allen unseren rechtlichen Werkzeugen, nicht nur Strafverfolgungen,” sagte Assistant Attorney General John Demers für die DoJ National Security Division, in der Erklärung.

Einseitige FBI-Aktion gegen ProxyLogon Exploits

Weitere technische Details der Aktion werden noch unter Verschluss gehalten, aber Erkang Zheng, Gründer und CEO von JupiterOne, merkte an, dass die Aktion beispiellos ist.

“Was die Sache wirklich interessant macht, ist die vom Gericht angeordnete Fernsanierung der verwundbaren Systeme”, sagte er per E-Mail. “Dies ist das erste Mal, dass so etwas passiert ist, und mit diesem Präzedenzfall wird es wahrscheinlich nicht das letzte Mal sein. Viele Unternehmen haben heute keine Ahnung, wie ihre Infrastruktur und ihr Sicherheitsstatus aussehen – Transparenz ist ein großes Problem für CISOs.”

Dirk Schrader, Global Vice President of Security Research bei New Net Technologies, merkte an, dass die mangelnde Transparenz des FBI problematisch sein könnte.

“Es gibt ein paar kritische Punkte in dieser Sache”, sagte er gegenüber Threatpost. “Eines ist, dass das FBI die Aktion damit begründet, dass den Opfern die technischen Möglichkeiten fehlen, ihre Infrastruktur selbst zu säubern. Ein anderes ist, dass das FBI anscheinend die Absicht hat, die Opfer über die Entfernung selbst um mindestens einen Monat zu verzögern und laufende Untersuchungen als Grund anführt.”

Er erklärte: “Dies kann zu weiteren Problemen führen, da die Opfer keine Möglichkeit haben, zu untersuchen, auf welche Art von Informationen zugegriffen wurde, ob zusätzliche Hintertüren installiert wurden, und eine Reihe anderer Bedenken mit diesem Ansatz einhergehen.”

Monti Knode, Director of Customer and Partner Success bei Horizon3.AI, merkte an, dass die Aktion verdeutlicht, wie gefährlich die Bugs sind.

“Staatliches Handeln basiert immer auf einer Handlungsvollmacht”, sagte er per E-Mail. “Indem man speziell ‘geschützte Computer’ nennt und sie als ‘beschädigt’ deklariert, scheint das genug gewesen zu sein, um dem FBI eine unterschriebene Befugnis zu geben, eine solche Operation durchzuführen, ohne die Opfer vor der Ausführung der Operation zu benachrichtigen. Während das Ausmaß der Operation nicht bekannt ist (im Gerichtsbeschluss geschwärzt), zeigt die Tatsache, dass das FBI in der Lage war, diese Operation in weniger als vier Tagen durchzuführen und dann öffentlich zu veröffentlichen, das potenzielle nationale Sicherheitsrisiko, das von diesen ausgenutzten Systemen ausgeht, und die damit verbundene priorisierte Planung. Das ist keine Kurzschlussreaktion.”

Diese Operation war erfolgreich beim Kopieren und Entfernen der Web-Shells, berichtete das FBI. Organisationen müssen jedoch noch Patches installieren, falls sie dies noch nicht getan haben.

“Zusammen mit den bisherigen Bemühungen des privaten Sektors und anderer Regierungsbehörden, einschließlich der Veröffentlichung von Erkennungstools und Patches, zeigen wir gemeinsam die Stärke, die eine öffentlich-private Partnerschaft für die Cybersicherheit unseres Landes mit sich bringt”, sagte Denmers. “Es besteht kein Zweifel daran, dass noch mehr Arbeit zu tun ist, aber es sollte auch kein Zweifel daran bestehen, dass das Ministerium sich verpflichtet, seine integrale und notwendige Rolle bei diesen Bemühungen zu spielen.”

Neue Exchange RCE Bugs und eine Bundeswarnung

Die Nachricht folgt auf den April-Patch-Dienstag, an dem Microsoft weitere RCE-Schwachstellen in Exchange (CVE-2021-28480 bis CVE-2021-28483) bekannt gab, die von der National Security Agency entdeckt und gemeldet wurden. Ein Mandat an Bundesbehörden, diese bis Freitag zu patchen, ging ebenfalls raus.

Kevin Breen von Immersive Labs, Direktor für Cyber-Bedrohungsforschung, warnte, dass die Bewaffnung dieser Schwachstellen schneller als üblich erfolgen könnte, da motivierte Angreifer in der Lage sein werden, bestehenden Konzeptcode zu verwenden.

“Dies unterstreicht, wie kritisch die Cybersicherheit mittlerweile für ganze Nationen ist und dass die Grenzen zwischen Nationalstaaten, Geheimdiensten und Unternehmenssicherheit immer weiter verschwimmen”, fügte er per E-Mail hinzu. “Mit einer Reihe von hochkarätigen Angriffen, die in letzter Zeit gut genutzte Unternehmenssoftware betrafen, ist die NSA offensichtlich daran interessiert, eine proaktive Rolle zu spielen.”

Haben Sie sich jemals gefragt, was in Untergrund-Cybercrime-Foren vor sich geht? Finden Sie es am 21. April um 14 Uhr ET bei einer KOSTENLOSEN Veranstaltung von Threatpost heraus: “Underground Markets: A Tour of the Dark Economy”. Experten von Digital Shadows (Austin Merritt) und Sift (Kevin Lee) nehmen Sie mit auf eine geführte Tour durch das Dark Web, einschließlich der Frage, was zum Verkauf steht, wie viel es kostet, wie Hacker zusammenarbeiten und welche neuesten Tools für Hacker verfügbar sind. Registrieren Sie sich hier für die LIVE-Veranstaltung am Mittwoch, 21. April.

Einige Teile dieses Artikels stammen aus:
threatpost.com