Microsoft veröffentlicht kritische Patches für Exchange Server, um eine Welle gezielter Angriffe zu vereiteln

Cyber Security News

Microsoft wird am Dienstag Patches für vier kritische Schwachstellen veröffentlichen, die chinesische Hacker für gezielte Angriffe auf Exchange Server nutzen, wie SC Media erfahren hat.

In einer Reihe von drei Blog-Posts, die am Dienstag veröffentlicht werden, sagte Microsoft, dass gezielte Hackerangriffe von einer aus China operierenden Gruppe, die das Unternehmen Hafnium nennt, Ketten von Schwachstellen miteinander verknüpft haben, um Zugang zu erhalten.

“Wir teilen diese Informationen mit unseren Kunden und der Sicherheits-Community, um die kritische Natur dieser Schwachstellen und die Wichtigkeit zu betonen, alle betroffenen Systeme sofort zu patchen, um vor diesen Exploits zu schützen und zukünftigen Missbrauch im gesamten Ökosystem zu verhindern”, wird Microsoft in dem Blog-Post sagen, der SC Media vor der Veröffentlichung zur Verfügung gestellt wurde.

Microsoft war schnell zu warnen, dass diese Hacking ist nicht im Zusammenhang mit Solarigate.

Die Anfangsphase des Angriffs beinhaltet eine nicht vertrauenswürdige Verbindung zu einem Zielserver über Port 443, was bedeutet, dass dieser Aspekt des Angriffs durch die Einschränkung nicht vertrauenswürdiger Verbindungen oder die Verwendung eines virtuellen privaten Netzwerks zur Absperrung des Servers abgeschwächt werden könnte. Microsoft warnt jedoch, dass diese Abschwächung nicht funktioniert, wenn die Hacker bereits in das System eingedrungen sind oder wenn sie einen Administrator dazu bringen können, eine bösartige Datei zu öffnen.

Hafnium konzentriert sich darauf, Daten von US-Firmen aus verschiedenen Branchen zu stehlen, darunter Forscher von Infektionskrankheiten, Anwaltskanzleien, Verteidigungsunternehmen, Hochschulen, Think Tanks und Nichtregierungsorganisationen, so Microsoft. Es inszeniert Angriffe über gemietete virtuelle private Server in den Vereinigten Staaten, exfiltriert Daten über File-Sharing-Sites wie Mega.

“Obwohl Hafnium seinen Sitz in China hat, führt es seine Operationen hauptsächlich von gemieteten virtuellen privaten Servern in den Vereinigten Staaten aus”, so Microsoft.

Zu den anfälligen Versionen von Exchange Server gehören Microsoft Exchange Server 2013, 2016 und 2019. Microsoft empfiehlt, diese sofort zu patchen.

Zu den vier Schwachstellen gehört CVE-2021-26855, eine serverseitige Request Forgery-Schwachstelle, die es Hafnium ermöglichte, die Authentifizierung zu manipulieren. Mit dieser Authentifizierung konnte Hafnium dann eine der beiden ebenfalls heute gepatchten Dateischreibschwachstellen CVE-2021-26858 und CVE-2021-27065 nutzen.

Die vierte Schwachstelle, CVE-2021-26857, ist eine unsichere Deserialisierungsschwachstelle im Unified-Messaging-Dienst, die es den Hackern ermöglichte, Code auf Exchange-Servern auszuführen, wofür jedoch entweder eine zusätzliche Schwachstelle oder die Erlaubnis eines Administrators erforderlich war.

Microsoft schrieb Volexity und Dubex zu, dass sie verschiedene Komponenten des Angriffs gemeldet haben.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com