Exchange Cyberattacken eskalieren, während Microsoft einen Ein-Klick-Fix einführt

Cyber Security News

Öffentliche Proof-of-Concept (PoC)-Exploits für ProxyLogon könnten die Zahl der Angriffe in die Höhe schnellen lassen, auch wenn das Patching Fortschritte macht.

Während sich gefährliche Angriffe gegen Microsoft Exchange Server im Zuge der Enthüllungen rund um die ProxyLogon-Gruppe von Sicherheitsfehlern beschleunigen, ist ein öffentlicher Proof-of-Concept (PoC)-Wirbelsturm in Gang gekommen. Das alles führt zu einem wahren Rausch an Cyber-Aktivitäten.

Die gute Nachricht ist jedoch, dass Microsoft angesichts der anhaltenden Angriffswellen ein Tool zur Abschwächung und Behebung mit nur einem Klick herausgegeben hat.

Forscher sagten, dass Advanced Persistent Threats (APTs) zwar die ersten waren, wenn es darum ging, verwundbare Exchange-Server zu hacken, aber die öffentlichen PoCs bedeuten, dass die Katze offiziell aus dem Sack ist, was bedeutet, dass weniger raffinierte Cyberkriminelle beginnen können, die Gelegenheit zu nutzen.

“APTs … können die Patches zurückentwickeln und ihre eigenen PoCs erstellen”, so Roger Grimes, Data-Driven Defense Evangelist bei KnowBe4, gegenüber Threatpost. “Aber öffentlich gepostete PoCs bedeuten, dass die tausenden anderen Hackergruppen, die nicht über diesen Grad an Raffinesse verfügen, es tun können, und selbst die Gruppen, die über diese Raffinesse verfügen, können es schneller tun.”

Nachdem er die Wirksamkeit eines der neuen öffentlichen PoCs bestätigt hatte, twitterte der Sicherheitsforscher Will Dorman von CERT/CC: “Wie habe ich diesen Exploit gefunden? Im Dark Web herumgehangen? Ein Hacker-Forum? Nein. Google-Suche.”

Was ist der ProxyLogon Exploit gegen Microsoft Exchange?

Microsoft gab Anfang März bekannt, dass es mehrere Zero-Day-Exploits in freier Wildbahn entdeckt hat, die für Angriffe auf lokale Versionen von Microsoft Exchange-Servern verwendet werden.

Vier Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) können miteinander verkettet werden, um einen RCE-Exploit (Remote Code Execution vor der Authentifizierung) zu erstellen – was bedeutet, dass Angreifer Server übernehmen können, ohne gültige Zugangsdaten zu kennen. Dadurch erhalten sie Zugriff auf die E-Mail-Kommunikation und die Möglichkeit, eine Web-Shell zur weiteren Ausnutzung innerhalb der Umgebung zu installieren.

Und tatsächlich stellte Microsoft fest, dass die Angreifer einer chinesischen APT namens Hafnium in der Lage waren, auf E-Mail-Konten zuzugreifen, eine Reihe von Daten zu stehlen und Malware auf den Zielrechnern abzulegen, um einen langfristigen Fernzugriff zu ermöglichen.

Microsoft hat zwar schnell Out-of-Band-Patches für ProxyLogon herausgegeben, aber trotzdem wurden bisher Zehntausende von Unternehmen über die Exploit-Kette kompromittiert.

Es ist auch offensichtlich, dass Hafnium nicht die einzige Partei von Interesse ist, laut mehreren Forschern; ESET sagte letzte Woche, dass mindestens 10 verschiedene APTs den Exploit verwenden.

Die schiere Menge an APTs, die Angriffe durchführen, von denen die meisten in den Tagen vor dem Bekanntwerden von ProxyLogon begannen, hat Fragen nach der Herkunft des Exploits aufgeworfen – und die ESET-Forscher haben darüber nachgedacht, ob er im großen Stil im Dark Web verbreitet wurde.

Mehrere Versionen der On-Premise-Variante von Exchange sind anfällig für die vier Bugs, darunter Exchange 2013, 2016 und 2019. Cloud-basierte und gehostete Versionen sind nicht anfällig für ProxyLogon.

Wie viele Organisationen und welche davon sind noch gefährdet?

Microsoft identifizierte ursprünglich mehr als 400.000 Exchange-Server vor Ort, die gefährdet waren, als die Patches zum ersten Mal am 2. März veröffentlicht wurden. Die von RiskIQ gesammelten Daten zeigten, dass am 14. März noch 69.548 Exchange-Server gefährdet waren. Und in einer separaten Analyse von Kryptos Logic sind 62.018 Server immer noch anfällig für CVE-2021-26855, den Server-seitigen Request Forgery-Fehler, der den ersten Zugriff auf Exchange-Server ermöglicht.

“Wir haben am 11. März ein zusätzliches Set von Updates veröffentlicht, und damit haben wir Updates veröffentlicht, die mehr als 95 Prozent aller im Internet exponierten Versionen abdecken”, heißt es in einem von Microsoft in der vergangenen Woche veröffentlichten Post.

Check Point Research (CPR) sagte jedoch diese Woche, dass in seinen neuesten Beobachtungen zu Exploitation-Versuchen die Anzahl der versuchten Angriffe um das Zehnfache gestiegen ist, von 700 am 11. März auf mehr als 7.200 am 15. März.

Nach den Telemetriedaten von CPR waren die USA das am häufigsten angegriffene Land (17 Prozent aller Exploit-Versuche), gefolgt von Deutschland (6 Prozent), Großbritannien (5 Prozent), den Niederlanden (5 Prozent) und Russland (4 Prozent).

Der am häufigsten angegriffene Industriesektor ist mittlerweile die Regierung/Militär (23 Prozent aller Exploit-Versuche), gefolgt von der Fertigungsindustrie (15 Prozent), Banken und Finanzdienstleistungen (14 Prozent), Software-Anbietern (7 Prozent) und dem Gesundheitswesen (6 Prozent).

“Während die Zahlen fallen, fallen sie nicht schnell genug”, sagte RiskIQ in seinem Beitrag. “Wenn Sie einen Exchange-Server haben, der nicht gepatcht und dem Internet ausgesetzt ist, ist Ihre Organisation wahrscheinlich bereits angegriffen worden. Ein Grund dafür, dass die Reaktion so langsam ist, ist, dass viele Organisationen nicht wissen, dass sie Exchange-Server haben, die dem Internet ausgesetzt sind – dies ist ein häufiges Problem, das wir bei neuen Kunden sehen.”

Er fügte hinzu: “Ein weiterer Grund ist, dass, obwohl täglich neue Patches erscheinen, viele dieser Server nicht gepatcht werden können und Upgrades benötigen, was eine komplizierte Lösung ist und wahrscheinlich viele Unternehmen dazu anspornen wird, auf Cloud-E-Mail zu migrieren.”

Werden die ProxyLogon-Attacken noch schlimmer?

Leider ist es wahrscheinlich, dass die Angriffe auf Exchange-Server immer umfangreicher werden. Letzte Woche veröffentlichte der unabhängige Sicherheitsforscher Nguyen Jang einen PoC auf GitHub, der zwei der ProxyLogon-Schwachstellen miteinander verkettete.

GitHub nahm ihn angesichts der Hunderttausenden von noch anfälligen Rechnern schnell wieder herunter, aber er war noch mehrere Stunden lang verfügbar.

Über das Wochenende tauchte dann ein weiterer PoC auf, der von Dormann von CERT/CC gemeldet und bestätigt wurde:

Nun, ich würde sagen, dass der ProxyLogon Exchange CVE-2021-26855 Exploit mittlerweile komplett aus dem Sack ist.https://t.co/ubsysTeFOjI bin mir bei der Fehlermeldung “Failed to write to shell” nicht so sicher. Aber ich kann bestätigen, dass es tatsächlich eine Shell auf meiner Test-Exchange-2016-Box abgelegt hat. pic.twitter.com/ijOGx3BIif

– Will Dormann (@wdormann) March 13, 2021

Zuvor hatten die Forscher von Praetorian am 8. März eine detaillierte technische Analyse von CVE-2021-26855 veröffentlicht, mit der sie einen Exploit erstellt haben. Die technischen Details bieten eine öffentliche Roadmap für das Reverse-Engineering des Patches.

Der ursprüngliche Exploit, der von den APTs verwendet wurde, könnte inzwischen durchgesickert sein oder aus Microsofts Informationsaustauschprogramm entnommen worden sein, so ein aktueller Bericht im Wall Street Journal. In Anbetracht der Beweise, dass mehrere APTs Zero-Day-Angriffe in den Tagen vor der Veröffentlichung von Patches für die Bugs durch Microsoft durchgeführt haben, stellt der Computerriese angeblich in Frage, ob ein Exploit von einem seiner Sicherheitspartner weitergegeben wurde.

MAPP liefert relevante Bug-Informationen an Sicherheitsanbieter, bevor diese veröffentlicht werden, so dass sie ihre Produkte und Dienste mit Signaturen und Indikatoren für eine Gefährdung versehen können. Dies kann, ja, Exploit-Code beinhalten.

“Einige der Tools, die in der zweiten Angriffswelle verwendet wurden, die vermutlich am 28. Februar begann, weisen Ähnlichkeiten mit Proof-of-Concept-Angriffscode auf, den Microsoft am 23. Februar an Antivirenfirmen und andere Sicherheitspartner verteilt hat, so die Ermittler von Sicherheitsfirmen”, heißt es in dem Bericht. “Microsoft hatte geplant, seine Sicherheitskorrekturen zwei Wochen später, am 9. März, zu veröffentlichen, aber nachdem die zweite Welle begann, wurden die Patches eine Woche früher, am 2. März, veröffentlicht, so die Forscher.”

Microsoft Mitigation Tool

Microsoft hat ein Exchange On-premises Mitigation Tool (EOMT) veröffentlicht, um kleineren Unternehmen ohne eigene Sicherheitsteams zu helfen, sich zu schützen.

“Microsoft hat ein neues Ein-Klick-Mitigationstool veröffentlicht, das Microsoft Exchange On-Premises Mitigation Tool, um Kunden zu helfen, die keine dedizierten Sicherheits- oder IT-Teams haben, um diese Sicherheitsupdates anzuwenden. Wir haben dieses Tool in Exchange Server 2013-, 2016- und 2019-Implementierungen getestet”, heißt es in einem von Microsoft veröffentlichten Beitrag. “Dieses neue Tool ist als vorläufige Mitigation für Kunden gedacht, die mit dem Patch-/Aktualisierungsprozess nicht vertraut sind oder die das On-Premises-Exchange-Sicherheitsupdate noch nicht angewendet haben.”

Laut Microsoft schützt das Tool vor Exploits für den Initial-Access-Bug CVE-2021-26855 über eine URL-Rewrite-Konfiguration und scannt den Server außerdem mit dem Microsoft Safety Scanner, um bestehende Kompromittierungen zu identifizieren. Dann wird es diese beheben.

China Chopper zurück auf der Werkbank

Inmitten dieser hektischen Aktivitäten wird immer mehr darüber bekannt, wie die Angriffe funktionieren. Zum Beispiel lädt die APT Hafnium, die zuerst von Hafnium entdeckt wurde, die bekannte China Chopper-Web-Shell auf die Rechner der Opfer.

Dies geht aus einer Analyse der Trustwave SpiderLabs hervor, die herausfand, dass China Chopper speziell auf kompromittierte Microsoft Exchange Server mit einem öffentlich zugänglichen Internet Information Services (IIS) Webserver hochgeladen wird.

China Chopper ist eine Active Server Page Extended (ASPX) Web-Shell, die typischerweise über einen Exploit auf einen IIS- oder Apache-Server eingeschleust wird. Einmal eingerichtet, erlaubt die Backdoor – die seit ihrer Einführung vor fast zehn Jahren kaum verändert wurde – Angreifern, verschiedene Befehle auf dem Server auszuführen, Malware abzulegen und mehr.

“Obwohl die China Chopper-Web-Shell schon seit Jahren bekannt ist, haben wir uns entschlossen, noch tiefer in die Funktionsweise der China Chopper-Web-Shell einzutauchen und zu untersuchen, wie die ASP.NET-Laufzeit diese Web-Shells bedient”, so Trustwave. “Die serverseitige ASPX-Web-Shell von China Chopper ist extrem klein und typischerweise besteht das Ganze aus nur einer Zeile.”

Hafnium verwendet die JScript-Version der Web-Shell, fügten die Forscher hinzu.

“Das Skript ist im Wesentlichen eine Seite, auf der, wenn eine HTTP-POST-Anfrage an die Seite gestellt wird, das Skript die JScript-Funktion ‘eval’ aufruft, um die Zeichenkette innerhalb einer bestimmten POST-Anfragevariable auszuführen”, erklärten die Forscher. “In dem … Skript heißt die POST-Request-Variable ‘secret’, was bedeutet, dass jedes JScript, das in der ‘secret’-Variable enthalten ist, auf dem Server ausgeführt wird.”

Die Forscher fügten hinzu, dass typischerweise eine China Chopper Client-Komponente in Form einer C-Binärdatei auf den Systemen der Angreifer verwendet wird.

“Dieser Client ermöglicht es dem Angreifer, viele schändliche Aufgaben auszuführen, wie z. B. das Herunter- und Hochladen von Dateien, das Ausführen eines virtuellen Terminals, um alles auszuführen, was man normalerweise mit cmd.exe ausführen könnte, das Ändern von Dateizeiten, das Ausführen von benutzerdefiniertem JScript, das Durchsuchen von Dateien und vieles mehr”, erklären die Trustwave-Forscher. “All dies wird nur durch eine einzige Codezeile auf dem Server ermöglicht.”

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community:

  • 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!)
  • 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com