Microsoft flickt vier Zero-Day-Fehler in Exchange Server

Cyber Security News

Microsoft war gezwungen, Out-of-Band-Patches zu veröffentlichen, um mehrere Zero-Day-Schwachstellen zu beheben, die von chinesischen, staatlich unterstützten Bedrohungsakteuren ausgenutzt werden.

Der ungewöhnliche Schritt wurde unternommen, um Kunden zu schützen, die On-Premises-Versionen von Microsoft Exchange Server einsetzen.

“Bei den beobachteten Angriffen nutzte der Bedrohungsakteur diese Schwachstellen, um auf lokale Exchange-Server zuzugreifen, was den Zugriff auf E-Mail-Konten ermöglichte und die Installation zusätzlicher Malware erlaubte, um den langfristigen Zugriff auf die Umgebungen der Opfer zu erleichtern”, so Microsoft.

“Das Microsoft Threat Intelligence Center (MSTIC) führt diese Kampagne mit hoher Wahrscheinlichkeit auf Hafnium zurück, eine Gruppe, die aufgrund der beobachteten Viktimologie, Taktik und Vorgehensweise als staatlich gesponsert und von China aus operierend eingeschätzt wird.”

Bei den vier Zero-Days handelt es sich um den Server-seitigen Request Forgery Bug CVE-2021-26855, die Post-Authentication Arbitrary File Write Schwachstellen CVE-2021-27065 und CVE-2021-26858 sowie CVE-2021-26857, eine unsichere Deserialisierungsschwachstelle im Unified Messaging Service.

Kombiniert könnten die Sicherheitslücken es Angreifern ermöglichen, sich als Exchange-Server zu authentifizieren, Code als System auszuführen und eine Datei in einen beliebigen Pfad auf dem Server zu schreiben. Nach dem Ausnutzen der vier Fehler sollen die Angreifer Web-Shells einsetzen, die es ihnen ermöglichen, Daten zu stehlen und zusätzliche bösartige Aktionen durchzuführen, um ihre Ziele weiter zu kompromittieren.

Laut Microsoft arbeiten die Hafnium-Akteure in der Regel von gemieteten virtuellen privaten Servern in den USA aus und zielen in erster Linie auf Sektoren wie die Erforschung von Infektionskrankheiten, das Rechtswesen, das Hochschulwesen, die Verteidigung, politische Think Tanks und NGOs ab.

“Hafnium hat bereits früher Opfer kompromittiert, indem es Schwachstellen in Internet-Servern ausgenutzt hat, und hat legitime Open-Source-Frameworks wie Covenant für die Steuerung verwendet. Sobald sie sich Zugang zu einem Opfernetzwerk verschafft haben, exfiltriert Hafnium typischerweise Daten zu File-Sharing-Seiten wie Mega”, heißt es.

“In Kampagnen, die nicht im Zusammenhang mit diesen Schwachstellen stehen, hat Microsoft beobachtet, dass Hafnium mit Office 365-Mandanten der Opfer interagiert. Auch wenn es ihnen oft nicht gelingt, Kundenkonten zu kompromittieren, hilft diese Aufklärungsaktivität den Angreifern, mehr Details über die Umgebungen ihrer Ziele zu erfahren.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com