ProxyLogon PoC Exploit veröffentlicht; wird wahrscheinlich weitere störende Cyber-Attacken auslösen

Cyber Security News

Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI) warnten am Mittwoch in einer gemeinsamen Mitteilung vor der aktiven Ausnutzung von Schwachstellen in Microsoft Exchange On-Premises-Produkten durch nationalstaatliche Akteure und Cyberkriminelle.

“CISA und FBI gehen davon aus, dass Angreifer diese Schwachstellen ausnutzen könnten, um Netzwerke zu kompromittieren, Informationen zu stehlen, Daten für Lösegeld zu verschlüsseln oder sogar einen zerstörerischen Angriff durchzuführen”, so die Behörden. “Angreifer können auch den Zugang zu kompromittierten Netzwerken im Dark Web verkaufen.”

Die Angriffe zielten in erster Linie auf lokale Regierungen, akademische Einrichtungen, Nichtregierungsorganisationen und Unternehmen in verschiedenen Branchen ab, darunter Landwirtschaft, Biotechnologie, Luft- und Raumfahrt, Verteidigung, Rechtsdienste, Energieversorger und Pharmazie, was laut den Behörden mit früheren Aktivitäten chinesischer Cyber-Akteure übereinstimmt.

Es wird vermutet, dass Zehntausende von Einrichtungen, darunter die Europäische Bankenaufsichtsbehörde und das norwegische Parlament, angegriffen wurden, um eine webbasierte Hintertür namens China Chopper Web Shell zu installieren, die den Angreifern die Möglichkeit gibt, E-Mail-Postfächer zu plündern und aus der Ferne auf die Zielsysteme zuzugreifen.

Die Entwicklung erfolgt vor dem Hintergrund der raschen Ausweitung von Angriffen auf anfällige Exchange Server, wobei mehrere Bedrohungsakteure die Schwachstellen bereits am 27. Februar ausnutzten, bevor sie schließlich letzte Woche von Microsoft gepatcht wurden, wodurch sich das, was als “begrenzt und gezielt” bezeichnet wurde, schnell in eine wahllose Massenausnutzungskampagne verwandelte.

Es gibt zwar keine konkrete Erklärung für die massenhafte Ausnutzung durch so viele verschiedene Gruppen, aber es wird spekuliert, dass die Gegner Exploit-Code weitergegeben oder verkauft haben, so dass andere Gruppen diese Schwachstellen ausnutzen konnten, oder dass die Gruppen den Exploit von einem gemeinsamen Verkäufer bezogen haben.

Von RCE über Web-Shells bis hin zu Implants

Am 2. März 2021 gab Volexity öffentlich die Entdeckung mehrerer Zero-Day-Exploits bekannt, die auf Schwachstellen in lokalen Versionen von Microsoft Exchange Servern abzielen, während die früheste In-the-Wild-Exploit-Aktivität auf den 3. Januar 2021 festgelegt wurde.

[Blocked Image: https://thehackernews.com/images/-5BlLSFX3zpg/YEosmvOx0eI/AAAAAAAACAo/nZ_vd-Gp5t0YKLVuZ3PO1-zu6tpT_hqRQCLcBGAsYHQ/s0/poc.jpg]

Die erfolgreiche Bewaffnung dieser Schwachstellen, ProxyLogon genannt, ermöglicht es einem Angreifer, auf die Exchange-Server der Opfer zuzugreifen und so dauerhaften Systemzugriff und Kontrolle über ein Unternehmensnetzwerk zu erlangen.

Obwohl Microsoft die Angriffe zunächst Hafnium zuschrieb, einer Bedrohungsgruppe, die als staatlich gesponsert eingeschätzt wird und von China aus operiert, erklärte das slowakische Cybersicherheitsunternehmen ESET am Mittwoch, dass es nicht weniger als zehn verschiedene Bedrohungsakteure identifiziert hat, die wahrscheinlich die Fehler bei der Remote-Code-Ausführung ausnutzten, um bösartige Implantate auf den E-Mail-Servern der Opfer zu installieren.

Abgesehen von Hafnium sind die fünf Gruppen, die die Schwachstellen vor der Veröffentlichung des Patches ausnutzten, Tick, LuckyMouse, Calypso, Websiic und Winnti (auch bekannt als APT41 oder Barium). Fünf weitere Gruppen (Tonto Team, ShadowPad, “Opera” Cobalt Strike, Mikroceen und DLTMiner) scannten und kompromittierten Exchange-Server in den Tagen unmittelbar nach der Veröffentlichung der Korrekturen.

Obwohl es keine schlüssigen Beweise gibt, die die Kampagne mit China in Verbindung bringen, merkte Domain Tools’ Senior Security Researcher Joe Slowik an, dass mehrere der oben genannten Gruppen früher mit von China gesponserten Aktivitäten in Verbindung gebracht wurden, darunter Tick, LuckyMouse, Calypso, Tonto Team, Mikroceen APT Group und die Winnti Group.

“Es scheint klar zu sein, dass es zahlreiche Gruppen gibt, die diese Schwachstellen ausnutzen, die Gruppen nutzen Massenscans oder Dienste, die es ihnen ermöglichen, unabhängig voneinander auf dieselben Systeme zu zielen, und schließlich gibt es mehrere Variationen des Codes, die fallen gelassen werden, was auf Iterationen des Angriffs hindeuten könnte”, so das Unit 42 Threat Intelligence Team von Palo Alto Networks.

In einem Cluster, der von den Forschern des US-Unternehmens Red Canary als “Sapphire Pigeon” identifiziert wurde, setzten die Angreifer mehrere Web-Shells auf einigen Opfern zu unterschiedlichen Zeiten ab, von denen einige bereits Tage vor der Durchführung von Folgeaktivitäten eingesetzt wurden.

Laut der Telemetrie-Analyse von ESET sollen mehr als 5.000 E-Mail-Server von Unternehmen und Regierungen aus über 115 Ländern von bösartigen Aktivitäten im Zusammenhang mit dem Vorfall betroffen gewesen sein. Das niederländische Institute for Vulnerability Disclosure (DIVD) berichtete am Dienstag, dass es 46.000 von 260.000 Servern weltweit gefunden hat, die nicht gegen die stark ausgenutzten ProxyLogon-Schwachstellen gepatcht waren.

[Blocked Image: https://thehackernews.com/images/-f2zgTwFBKWw/YEos7G5zJ-I/AAAAAAAACAw/m0hGtK4suCkDQoGBl9drBf63JXBQA7YfQCLcBGAsYHQ/s0/cyberattack-timeline.jpg]

Beunruhigende Hinweise deuten darauf hin, dass die Verbreitung der Web-Shells nach der Verfügbarkeit des Patches am 2. März zunahm, was die Möglichkeit aufkommen lässt, dass weitere Entitäten opportunistisch einsprangen, um Exploits zu erstellen, indem sie Microsoft-Updates als Teil mehrerer, unabhängiger Kampagnen zurückentwickelten.

“Am Tag nach der Veröffentlichung des Patches haben wir begonnen, viele weitere Bedrohungsakteure zu beobachten, die massenhaft Exchange-Server scannen und kompromittieren”, sagt ESET-Forscher Matthieu Faou. “Interessanterweise handelt es sich bei allen um APT-Gruppen, die sich auf Spionage konzentrieren, mit Ausnahme eines Ausreißers, der mit einer bekannten Coin-Mining-Kampagne (DLTminer) in Verbindung zu stehen scheint. Es ist noch unklar, wie die Verbreitung des Exploits zustande kam, aber es ist unvermeidlich, dass immer mehr Bedrohungsakteure, darunter auch Ransomware-Betreiber, früher oder später Zugriff darauf haben werden.”

Abgesehen von der Installation der Web-Shell umfassen andere Verhaltensweisen, die mit Hafnium in Verbindung stehen oder von ihm inspiriert wurden, die Durchführung von Erkundungen in Opferumgebungen durch die Bereitstellung von Batch-Skripten, die verschiedene Funktionen wie die Aufzählung von Konten, das Sammeln von Anmeldeinformationen und die Netzwerkerkennung automatisieren.

Öffentlicher Proof-of-Concept verfügbar

Erschwerend kommt hinzu, dass trotz der Versuche von Microsoft, die in den letzten Tagen auf GitHub veröffentlichten Exploits zu entfernen, der erste funktionierende öffentliche Proof-of-Concept (PoC)-Exploit für die ProxyLogon-Schwachstellen verfügbar ist.

[Blocked Image: https://thehackernews.com/images/-jZ4Km1P3Jic/YEoruswQHKI/AAAAAAAACAg/3mKbCQaUVkA1x98uEBtKA4hueS2e9ZqRgCLcBGAsYHQ/s728-e1000/proxylogon-exploit.jpg]

“Ich habe bestätigt, dass es einen öffentlichen PoC für die vollständige RCE-Exploit-Kette gibt”, sagte der Sicherheitsforscher Marcus Hutchins. “Es hat ein paar Bugs, aber mit ein paar Fixes war ich in der Lage, Shell auf meiner Testbox zu bekommen.”

Der Veröffentlichung des PoCs liegt auch ein detaillierter technischer Bericht der Praetorian-Forscher bei, die CVE-2021-26855 zurückentwickelt haben, um einen voll funktionsfähigen End-to-End-Exploit zu erstellen, indem sie Unterschiede zwischen der verwundbaren und der gepatchten Version identifiziert haben.

Die Forscher haben sich zwar bewusst dafür entschieden, kritische PoC-Komponenten auszulassen, aber die Entwicklung hat auch Bedenken aufkommen lassen, dass die technischen Informationen die Entwicklung eines funktionierenden Exploits weiter beschleunigen könnten, was wiederum noch mehr Bedrohungsakteure dazu veranlassen könnte, ihre eigenen Angriffe zu starten.

Während sich die Zeitachse des ausgedehnten Hacks langsam herauskristallisiert, ist klar, dass die Welle der Angriffe auf Exchange Server in zwei Phasen stattgefunden zu haben scheint: Hafnium nutzte die Kette von Schwachstellen, um Ziele in begrenztem Umfang heimlich anzugreifen, bevor andere Hacker ab dem 27. Februar die hektische Scan-Aktivität vorantrieben.

Der Cybersecurity-Journalist Brian Krebs führte dies darauf zurück, dass “verschiedene cyberkriminelle Gruppen irgendwie von Microsofts Plänen erfuhren, Fixes für die Exchange-Schwachstellen eine Woche früher als erhofft zu liefern.”

“Der beste Ratschlag, um die von Microsoft offengelegten Schwachstellen zu entschärfen, ist, die entsprechenden Patches zu installieren”, so Slowik. “Angesichts der Geschwindigkeit, mit der Angreifer diese Schwachstellen als Waffe eingesetzt haben, und der langen Zeitspanne vor der Veröffentlichung, in der diese aktiv ausgenutzt wurden, müssen viele Unternehmen wahrscheinlich auf Reaktions- und Abhilfemaßnahmen umsteigen, um bestehende Angriffe abzuwehren.”

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com