URGENT – 4 aktiv ausgenutzte 0-Tage-Schwachstellen in Microsoft Exchange gefunden

Cyber Security News

Microsoft hat Notfall-Patches veröffentlicht, um vier bisher unbekannte Sicherheitslücken in Exchange Server zu beheben, die laut Microsoft von einem neuen, vom chinesischen Staat gesponserten Bedrohungsakteur aktiv ausgenutzt werden, um Datendiebstahl zu begehen.

Das Microsoft Threat Intelligence Center (MSTIC) beschrieb die Angriffe als “begrenzt und gezielt” und sagte, dass der Bedrohungsakteur diese Schwachstellen nutzte, um auf lokale Exchange-Server zuzugreifen, was wiederum den Zugriff auf E-Mail-Konten ermöglichte und den Weg für die Installation zusätzlicher Malware ebnete, um den langfristigen Zugriff auf die Umgebungen der Opfer zu erleichtern.

Der Tech-Gigant führt die Kampagne mit hoher Wahrscheinlichkeit auf einen Bedrohungsakteur zurück, den er HAFNIUM nennt, ein staatlich gefördertes Hackerkollektiv, das von China aus operiert, obwohl er vermutet, dass auch andere Gruppen beteiligt sein könnten.

Microsoft beschreibt HAFNIUM als einen “hochqualifizierten und hochentwickelten Akteur”, der hauptsächlich Unternehmen in den USA angreift, um sensible Informationen aus einer Reihe von Branchen zu exfiltrieren, darunter Forscher für Infektionskrankheiten, Anwaltskanzleien, Hochschuleinrichtungen, Verteidigungsunternehmen, politische Denkfabriken und NGOs.

Es wird vermutet, dass HAFNIUM seine Angriffe über gemietete virtuelle private Server in den USA ausführt, um seine bösartigen Aktivitäten zu verschleiern.

Der dreistufige Angriff beinhaltet den Zugriff auf einen Exchange Server entweder mit gestohlenen Passwörtern oder unter Ausnutzung bisher unentdeckter Schwachstellen, gefolgt von der Bereitstellung einer Web-Shell, um den kompromittierten Server aus der Ferne zu steuern. Das letzte Glied in der Angriffskette nutzt den Fernzugriff, um Postfächer aus dem Netzwerk einer Organisation zu plündern und die gesammelten Daten auf Filesharing-Sites wie MEGA zu exportieren.

Um dies zu erreichen, werden bis zu vier Zero-Day-Schwachstellen, die von Forschern von Volexity und Dubex entdeckt wurden, als Teil der Angriffskette genutzt – CVE-2021-26855: Eine Server-seitige Request Forgery (SSRF)-Schwachstelle in Exchange Server CVE-2021-26857: Eine unsichere Deserialisierungsschwachstelle im Unified Messaging-Dienst CVE-2021-26858: Eine Schwachstelle für das Schreiben beliebiger Dateien nach der Authentifizierung in Exchange, und CVE-2021-27065: Eine Sicherheitslücke in Exchange, die das Schreiben beliebiger Dateien nach der Authentifizierung ermöglicht

Obwohl die Schwachstellen Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 und Microsoft Exchange Server 2019 betreffen, sagte Microsoft, dass es Exchange Server 2010 für “Defense in Depth”-Zwecke aktualisieren wird.

[Blocked Image: https://thehackernews.com/images/-_eUnJYSlv7A/YD86dcga76I/AAAAAAAAB7Y/Ex1kb11XGtcD6b878ASeDzA-SFz8SSzNgCLcBGAsYHQ/s728-e1000/ms.jpg]

Da der ursprüngliche Angriff eine nicht vertrauenswürdige Verbindung zum Exchange-Server-Port 443 erfordert, weist das Unternehmen darauf hin, dass Unternehmen das Problem durch die Einschränkung nicht vertrauenswürdiger Verbindungen oder durch die Verwendung eines VPNs zur Trennung des Exchange-Servers vom externen Zugriff entschärfen können.

Microsoft betonte nicht nur, dass die Exploits nicht mit den SolarWinds-Verletzungen in Verbindung stehen, sondern sagte auch, dass es die zuständigen US-Regierungsstellen über die neue Angriffswelle informiert hat. Das Unternehmen machte jedoch keine näheren Angaben darüber, wie viele Organisationen angegriffen wurden und ob die Angriffe erfolgreich waren.

Volexity gab an, dass die Einbruchskampagnen um den 6. Januar 2021 herum begonnen zu haben scheinen und dass es eine aktive Ausnutzung mehrerer Microsoft Exchange-Schwachstellen festgestellt hat, die zum Stehlen von E-Mails und zur Kompromittierung von Netzwerken verwendet werden.

“Während die Angreifer anscheinend zunächst weitgehend unter dem Radar flogen, indem sie einfach E-Mails stahlen, gingen sie kürzlich dazu über, Exploits zu starten, um Fuß zu fassen”, erklärten die Volexity-Forscher Josh Grunzweig, Matthew Meltzer, Sean Koessel, Steven Adair und Thomas Lancaster in einer Mitteilung.

“Aus der Sicht von Volexity scheint diese Exploitation mehrere Operatoren zu involvieren, die eine Vielzahl von Werkzeugen und Methoden verwenden, um Anmeldeinformationen zu dumpen, sich seitlich zu bewegen und weitere Systeme zu hintergehen.”

Kevin Beaumont, Senior Threat Intelligence Analyst bei Microsoft, hat außerdem ein nmap-Plugin erstellt, mit dem ein Netzwerk nach potenziell gefährdeten Microsoft Exchange-Servern gescannt werden kann.

“Auch wenn wir schnell gearbeitet haben, um ein Update für die Hafnium-Exploits bereitzustellen, wissen wir, dass viele nationalstaatliche Akteure und kriminelle Gruppen schnell handeln werden, um alle ungepatchten Systeme auszunutzen”, sagte Tom Burt, Corporate Vice President of Customer Security bei Microsoft. “Die rechtzeitige Anwendung der heutigen Patches ist der beste Schutz gegen diesen Angriff.”

Angesichts der Schwere der Schwachstellen ist es nicht verwunderlich, dass die Patches eine Woche vor dem Patch Tuesday des Unternehmens, der normalerweise für den zweiten Dienstag eines jeden Monats reserviert ist, ausgerollt wurden. Kunden, die eine anfällige Version von Exchange Server verwenden, wird empfohlen, die Updates sofort zu installieren, um diese Angriffe zu vereiteln.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com