Microsoft Exchange Zero-Day-Angreifer spionieren US-Ziele aus

Cyber Security News

Full Dumps von E-Mail-Postfächern, Lateral Movement und Backdoors kennzeichnen ausgeklügelte Angriffe einer chinesischen APT – während sich weitere Vorfälle wie ein Lauffeuer verbreiten.

Microsoft hat mehrere Zero-Day-Exploits in freier Wildbahn entdeckt, die für Angriffe auf Vor-Ort-Versionen von Microsoft Exchange Server genutzt werden. Angreifer waren in der Lage, auf E-Mail-Konten zuzugreifen, eine Reihe von Daten zu stehlen und Malware auf Zielcomputern abzulegen, um einen langfristigen Fernzugriff zu ermöglichen, so der Computerriese.

Die Angriffe sind “begrenzt und gezielt”, so Microsoft, was das Unternehmen dazu veranlasst hat, diese Woche Out-of-Band-Patches zu veröffentlichen. Die ausgenutzten Bugs werden unter den Bezeichnungen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 geführt.

Andere Forscher haben jedoch berichtet, dass die Aktivität massenhaft Opferorganisationen kompromittiert hat.

“Das Team stellt fest, dass Organisationen aller Formen und Größen betroffen sind, darunter Elektrizitätswerke, lokale/regionale Regierungen, Gesundheitsdienstleister und Banken/Finanzinstitute, aber auch kleine Hotels, mehrere Seniorengemeinschaften und andere mittelständische Unternehmen”, so ein Sprecher von Huntress gegenüber Threatpost.

Es wird vermutet, dass es sich bei dem Täter um eine APT-Gruppe (Advanced Persistent Threat) namens Hafnium (auch der Name eines chemischen Elements) handelt, die in der Vergangenheit mit Cyber-Spionage-Kampagnen Ziele in den Vereinigten Staaten anvisiert hat. Zu den Zielen gehörten in der Vergangenheit Verteidigungsunternehmen, Forscher von Infektionskrankheiten, Anwaltskanzleien, Nichtregierungsorganisationen (NGOs), politische Think Tanks und Universitäten.

“Das Microsoft Threat Intelligence Center (MSTIC) schreibt diese Kampagne mit hoher Wahrscheinlichkeit Hafnium zu, einer Gruppe, die aufgrund der beobachteten Viktimologie, Taktik und Vorgehensweise als staatlich gefördert und von China aus operierend eingeschätzt wird”, heißt es in einer Ankündigung von Microsoft zu den Angriffen in dieser Woche.

Zero-Day-Sicherheitslücken in Exchange Server

“Die Tatsache, dass Microsoft sich entschieden hat, diese Schwachstellen out-of-band zu patchen, anstatt sie als Teil der Patch Tuesday-Veröffentlichung in der nächsten Woche aufzunehmen, lässt uns glauben, dass die Schwachstellen ziemlich schwerwiegend sind, auch wenn wir den vollen Umfang dieser Angriffe nicht kennen”, sagte Satnam Narang, Staff Research Engineer bei Tenable, per E-Mail.

Microsoft hat diese Woche folgende Fehler gepatcht, und Admins sollten entsprechend aktualisieren:

  • CVE-2021-26855 ist eine Server-seitige Request Forgery (SSRF)-Schwachstelle, die eine Umgehung der Authentifizierung ermöglicht: Ein entfernter Angreifer kann einfach beliebige HTTP-Anfragen an den Exchange-Server senden und sich bei ihm authentifizieren. Von dort aus kann ein Angreifer den gesamten Inhalt mehrerer Benutzerpostfächer stehlen.
  • CVE-2021-26857 ist eine Schwachstelle in der unsicheren Deserialisierung im Unified Messaging-Dienst, bei der nicht vertrauenswürdige, vom Benutzer kontrollierbare Daten durch ein Programm deserialisiert werden. Ein Exploit ermöglicht entfernten Angreifern mit Administratorrechten, Code als SYSTEM auf dem Exchange-Server auszuführen.
  • CVE-2021-26858 und CVE-2021-27065 sind beides Sicherheitslücken in Exchange, die nach der Authentifizierung beliebige Dateien schreiben können. Sobald sich ein Angreifer bei einem Exchange-Server authentifiziert hat (unter Verwendung von CVE-2021-26855 oder mit kompromittierten Admin-Anmeldeinformationen), kann er eine Datei in einen beliebigen Pfad auf dem Server schreiben und so Remotecodeausführung (RCE) erreichen.

Die Forscher von Volexity entdeckten den SSRF-Bug ursprünglich im Rahmen einer Reaktion auf einen Vorfall und stellten fest: “Diese Schwachstelle kann aus der Ferne ausgenutzt werden und erfordert weder eine Authentifizierung noch spezielle Kenntnisse oder Zugriff auf eine Zielumgebung. Der Angreifer muss nur den Server kennen, auf dem Exchange läuft, und das Konto, von dem er E-Mails extrahieren möchte.”

Sie beobachteten auch, dass der SSRF-Bug mit CVE-2021-27065 verkettet wurde, um RCE in mehreren Angriffen zu erreichen.

Microsoft schrieb auch den Sicherheitsforschern von Dubex die Aufdeckung der jüngsten Aktivität zu, die erstmals im Januar beobachtet wurde.

“Basierend auf dem, was wir bisher wissen, erfordert die Ausnutzung einer der vier Schwachstellen keinerlei Authentifizierung und kann verwendet werden, um potenziell Nachrichten aus der Mailbox eines anvisierten Benutzers herunterzuladen”, so Narang von Tenable. “Die anderen Schwachstellen können von einem entschlossenen Bedrohungsakteur miteinander verkettet werden, um eine weitere Kompromittierung des Netzwerks der Zielorganisation zu ermöglichen.”

Was geschah bei den Hafnium-Angriffen?

In den beobachteten Kampagnen wurden die vier Zero-Day-Bugs genutzt, um einen ersten Zugriff auf die anvisierten Exchange-Server zu erlangen und eine RCE zu erreichen. Die Hafnium-Operatoren setzten dann Web-Shells auf den kompromittierten Servern ein, die laut den Forschern dazu verwendet wurden, Daten zu stehlen und den Angriff auszuweiten.

“In allen Fällen von RCE hat Volexity beobachtet, dass der Angreifer Webshells (ASPX-Dateien) auf die Festplatte schrieb und weitere Operationen durchführte, um Anmeldedaten zu dumpen, Benutzerkonten hinzuzufügen, Kopien der Active Directory-Datenbank (NTDS.DIT) zu stehlen und sich seitlich auf andere Systeme und Umgebungen zu bewegen”, heißt es in dem Schreiben von Volexity.

Nach dem Einsatz der Web-Shell stellte Microsoft fest, dass die Hafnium-Operatoren eine Reihe von Aktivitäten nach der Ausbeutung durchführten:

  • Verwendung von Procdump, um den LSASS-Prozessspeicher zu dumpen;
  • Verwendung von 7-Zip zum Komprimieren gestohlener Daten in ZIP-Dateien für die Exfiltration;
  • Hinzufügen und Verwenden von Exchange PowerShell-Snap-Ins zum Exportieren von Postfachdaten;
  • Verwendung der Nishang Invoke-PowerShellTcpOneLine Reverse Shell;
  • Und das Herunterladen von PowerCat von GitHub und die anschließende Verwendung zum Öffnen einer Verbindung zu einem Remote-Server.

Die Angreifer waren auch in der Lage, das Exchange-Offline-Adressbuch von kompromittierten Systemen herunterzuladen, das Informationen über eine Organisation und ihre Benutzer enthält, so die Analyse.

Wer ist die Hafnium APT?

Hafnium wurde schon früher von Microsoft verfolgt, aber das Unternehmen hat erst jetzt einige Details über die APT veröffentlicht.

Was seine Taktik angeht, “hat Hafnium zuvor Opfer kompromittiert, indem es Schwachstellen in internetorientierten Servern ausgenutzt hat, und hat legitime Open-Source-Frameworks wie Covenant für die Befehls- und Kontrollfunktion verwendet”, so Microsoft. “Sobald sie sich Zugang zu einem Opfernetzwerk verschafft haben, exfiltriert HAFNIUM typischerweise Daten auf File-Sharing-Seiten wie MEGA.”

Hafnium operiert hauptsächlich von gemieteten virtuellen privaten Servern in den USA aus und hat es in erster Linie auf US-Ziele abgesehen, steht aber laut Microsoft auch mit der chinesischen Regierung in Verbindung. Es charakterisiert die APT als “einen hochqualifizierten und ausgeklügelten Akteur”.

Zeit für einen Patch: Erwarten Sie bald mehr Angriffe

Es ist anzumerken, dass andere Forscher laut Narang gesehen haben, dass diese Schwachstellen von verschiedenen Bedrohungsakteuren ausgenutzt werden, die auf andere Regionen abzielen.

“Wir gehen davon aus, dass andere Bedrohungsakteure diese Schwachstellen in den kommenden Tagen und Wochen ausnutzen werden. Deshalb ist es für Unternehmen, die Exchange Server einsetzen, von entscheidender Bedeutung, diese Patches sofort anzuwenden”, so Narang weiter.

Und in der Tat haben die Forscher von Huntress nach eigenen Angaben mehr als 100 Web-Shells entdeckt, die auf rund 1.500 verwundbaren Servern (mit installiertem Virenschutz und Endpoint Detection/Recovery) eingesetzt werden, und sie erwarten, dass diese Zahl weiter steigt.

Sie sind nicht allein.

“FireEye hat beobachtet, dass diese Schwachstellen in freier Wildbahn ausgenutzt werden, und wir arbeiten aktiv mit mehreren betroffenen Organisationen zusammen”, sagte Charles Carmakal, Senior Vice President und CTO bei FireEye Mandiant, per E-Mail. “Wir empfehlen Unternehmen, nicht nur so schnell wie möglich Patches aufzuspielen, sondern auch ihre Systeme auf Anzeichen für eine Ausnutzung der Schwachstellen zu überprüfen, die vor der Bereitstellung der Patches aufgetreten sein könnten.”

Einige Teile dieses Artikels stammen aus:
threatpost.com