CISA ordnet Bundesbehörden an, Exchange-Server zu patchen

Cyber Security News

Spionageangriffe, die die gerade gepatchten Sicherheitslücken zur Remote-Code-Ausführung in Microsoft Exchange-Servern ausnutzen, verbreiten sich schnell.

Kurz nach der Ankündigung von Microsoft über aktive Cyber-Spionage-Kampagnen, die vier schwerwiegende Sicherheitslücken in Microsoft Exchange Server ausnutzen, ordnet die US-Regierung Patches für diese Probleme an.

Die Nachricht kommt zu einem Zeitpunkt, an dem Sicherheitsfirmen über eine steigende Anzahl von entsprechenden Kampagnen berichten, die von raffinierten Angreifern gegen eine Reihe von hochwertigen Zielen, insbesondere in den USA, geführt werden.

Die Cybersecurity and Infrastructure Security Agency (CISA) hat eine Notfallrichtlinie herausgegeben, in der sie davor warnt, dass ihre Partner die aktive Ausnutzung von Fehlern in Microsoft Exchange On-Premises-Produkten beobachtet haben, die es Angreifern ermöglichen, “dauerhaften Systemzugriff und Kontrolle über ein Unternehmensnetzwerk zu erlangen.”

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2019/02/19151457/subscribe2.jpg]

“Die CISA hat festgestellt, dass diese Ausnutzung von Microsoft Exchange On-Premises-Produkten ein inakzeptables Risiko für die zivilen Bundesbehörden der Exekutive darstellt und Notfallmaßnahmen erfordert”, heißt es in der Warnung vom 3. März. “Diese Feststellung basiert auf der aktuellen Ausnutzung dieser Schwachstellen in freier Wildbahn, der Wahrscheinlichkeit, dass die Schwachstellen ausgenutzt werden, der Verbreitung der betroffenen Software im Bundesunternehmen, dem hohen Potenzial für eine Kompromittierung der Informationssysteme der Behörde und den potenziellen Auswirkungen einer erfolgreichen Kompromittierung.”

Rasch sich ausbreitende Exchange Server-Angriffe

Anfang dieser Woche teilte Microsoft mit, dass es mehrere Zero-Day-Exploits in freier Wildbahn entdeckt hat, die für Angriffe auf lokale Versionen von Microsoft Exchange Server verwendet werden, was das Unternehmen veranlasst hat, Out-of-Band-Patches zu veröffentlichen.

Die ausgenutzten Bugs werden unter den Bezeichnungen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 geführt. Wenn sie miteinander verkettet sind, ermöglichen sie die Umgehung der Remote-Authentifizierung und Remote-Codeausführung. Angreifer konnten laut dem Computerriesen auf E-Mail-Konten zugreifen, eine Reihe von Daten stehlen und Malware auf den Zielcomputern ablegen, um langfristigen Fernzugriff zu erhalten.

Die Angriffe werden zum Teil von einer mit China verbundenen Advanced Persistent Threat (APT) namens Hafnium durchgeführt, so Microsoft – aber mehrere andere Sicherheitsfirmen haben Angriffe von anderen Gruppen und gegen eine breite Palette von Zielen beobachtet.

Die Forscher von Huntress Labs beispielsweise erklärten gegenüber Threatpost, dass sie mehr als 200 Web-Shells entdeckt haben, die auf Tausenden von anfälligen Servern (mit installiertem Virenschutz und Endpoint Detection/Recovery) eingesetzt werden, und sie gehen davon aus, dass diese Zahl weiter steigen wird.

“Das Team stellt fest, dass Organisationen jeder Art und Größe betroffen sind, darunter Elektrizitätswerke, Kommunal- und Kreisverwaltungen, Gesundheitsdienstleister und Banken/Finanzinstitute, aber auch kleine Hotels, mehrere Seniorenwohngemeinschaften und andere mittelständische Unternehmen”, so ein Sprecher von Huntress gegenüber Threatpost.

In der Zwischenzeit twitterten die Forscher von ESET, dass CVE-2021-26855 neben Hafnium von mindestens drei APTS aktiv in freier Wildbahn ausgenutzt wird.

“Unter ihnen haben wir #LuckyMouse, #Tick, #Calypso und ein paar zusätzliche, noch nicht klassifizierte Cluster identifiziert”, twitterte es und fügte hinzu, dass die meisten Angriffe zwar gegen Ziele in den USA gerichtet sind, “wir aber auch Angriffe gegen Server in Europa, Asien und dem Nahen Osten gesehen haben.”

Die meisten Ziele befinden sich in den USA, aber wir haben Angriffe gegen Server in Europa, Asien und dem Nahen Osten gesehen. Zu den Zielgruppen gehören Regierungen, Anwaltskanzleien, private Unternehmen und medizinische Einrichtungen. 3/5 pic.twitter.com/kwxjYPeMlm

– ESET research (@ESETresearch) March 2, 2021

CISA schreibt Patching von Exchange-Servern vor

CISA verlangt von Bundesbehörden mehrere Schritte angesichts der sich ausbreitenden Angriffe.

Zunächst sollten sie eine gründliche Bestandsaufnahme aller lokalen Microsoft Exchange Server in ihren Umgebungen vornehmen und dann forensische Untersuchungen durchführen, um vorhandene Kompromittierungen zu identifizieren. Alle Kompromittierungen müssen der CISA zur Behebung gemeldet werden.

Der forensische Schritt würde das Sammeln von “Systemspeicher, System-Webprotokollen, Windows-Ereignisprotokollen und allen Registry-Hives” beinhalten. Die Agenturen müssen dann die Artefakte auf Hinweise auf eine Kompromittierung oder anomales Verhalten untersuchen, wie z. B. Credential Dumping und andere Aktivitäten.”

Wenn keine Anzeichen für eine Kompromittierung gefunden wurden, müssen die Agenturen sofort patchen, fügte CISA hinzu. Und wenn Behörden nicht sofort patchen können, dann müssen sie ihre Microsoft Exchange Server offline nehmen.

Alle Agenturen wurden außerdem aufgefordert, bis Freitag einen ersten Bericht über ihre aktuelle Situation vorzulegen.

“[This] unterstreicht die zunehmende Häufigkeit von Angriffen, die von Nationalstaaten orchestriert werden”, sagte Steve Forbes, Cybersecurity-Experte der Regierung bei Nominet, per E-Mail. “Die zunehmende Rolle der Regierungsbehörden bei der Führung einer koordinierten Reaktion gegen Angriffe. Die Anweisung der CISA an die Behörden, über den Grad ihrer Gefährdung zu berichten, Sicherheitskorrekturen anzuwenden oder das Programm abzuschalten, ist die letzte in einer Reihe von immer regelmäßigeren Notfallanweisungen, die die Behörde seit ihrer Gründung vor zwei Jahren herausgegeben hat. Schwachstellen wie diese zeigen, wie notwendig diese koordinierten nationalen Schutzmaßnahmen sind, um die Auswirkungen von Angriffen, die große Auswirkungen auf die nationale Sicherheit haben könnten, effizient und effektiv zu mindern.”

Einige Teile dieses Artikels stammen aus:
threatpost.com