Microsoft Exchange Server sehen ProxyLogon Patching-Raserei

Cyber Security News

Weite Teile der Unternehmen wurden wahrscheinlich kompromittiert, bevor die Patches aufgespielt wurden, die Gefahr bleibt also bestehen.

Der Patching-Level für Microsoft Exchange Server, die anfällig für die ProxyLogon-Gruppe von Sicherheitsfehlern sind, hat laut Microsoft 92 Prozent erreicht.

Der Computerriese hat diese Zahl Anfang der Woche getwittert – obwohl das Patchen natürlich keine bereits kompromittierten Maschinen reparieren wird. Dennoch ist das eine Verbesserung von 43 Prozent allein seit letzter Woche, so Microsoft (unter Verwendung der Telemetrie von RiskIQ).

Unsere Arbeit geht weiter, aber wir sehen eine starke Dynamik für Exchange Server-Updates vor Ort:- 92 % der weltweiten Exchange IPs sind jetzt gepatcht oder entschärft.- 43 % Verbesserung weltweit in der letzten Woche. pic.twitter.com/YhgpnMdlOX

– Security Response (@msftsecresponse) March 22, 2021

ProxyLogon besteht aus vier Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065), die miteinander verkettet werden können, um einen RCE-Exploit (Remote Code Execution) vor der Authentifizierung zu erstellen – was bedeutet, dass Angreifer Server übernehmen können, ohne gültige Anmeldedaten zu kennen. Dadurch erhalten sie Zugriff auf die E-Mail-Kommunikation und die Möglichkeit, eine Web-Shell zur weiteren Ausnutzung innerhalb der Umgebung zu installieren.

Die guten Nachrichten über das Patching kommen zu einem Zeitpunkt, an dem ein Wirbelsturm von ProxyLogon-Cyberattacken Unternehmen auf der ganzen Welt getroffen hat, wobei mehrere Advanced Persistent Threats (APT) und möglicherweise andere Angreifer den Fehler schnell ausnutzen. Eine Flut von öffentlichen Proof-of-Concept-Exploits hat das Feuer weiter angefacht – das so hell lodert, dass F-Secure am Sonntag sagte, dass Hacks “schneller auftreten, als wir zählen können”, mit zehntausenden von kompromittierten Rechnern.

“Um die Sache noch schlimmer zu machen, werden Proof-of-Concept-Skripte für automatisierte Angriffe öffentlich zugänglich gemacht, die es selbst ungeschulten Angreifern ermöglichen, schnell die Fernsteuerung eines verwundbaren Microsoft Exchange Servers zu erlangen”, heißt es in dem Bericht von F-Secure. “Es gibt sogar ein voll funktionsfähiges Paket zum Ausnutzen der Schwachstellen-Kette, das in der Metasploit-Anwendung veröffentlicht wurde, die üblicherweise sowohl für Hacking- als auch für Sicherheitstests verwendet wird. Diese freie Angriffsmöglichkeit wird nun von einer großen Anzahl krimineller Banden, staatlich unterstützter Bedrohungsakteure und opportunistischer Script-Kiddies ausgenutzt.”

Die Angreifer nutzen ProxyLogon, um eine Reihe von Angriffen auszuführen, darunter Datendiebstahl und die Installation von Malware, wie z.B. der kürzlich entdeckte “BlackKingdom”-Stamm. Laut Sophos fordern die Ransomware-Betreiber 10.000 US-Dollar in Bitcoin im Austausch für einen Verschlüsselungsschlüssel.

Patching bleibt für viele schwierig

Das CyberNews-Untersuchungsteam fand am Mittwoch weltweit 62.174 potenziell gefährdete, ungepatchte Microsoft Exchange Server.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/03/24141216/ProxyLogon2-300x278.png]

Zum Vergrößern anklicken. Quelle: CyberNews.

Victor Wieczorek, Practice Director für Threat & Attack Simulation bei GuidePoint Security, stellte fest, dass einige Unternehmen nicht strukturiert oder mit den nötigen Ressourcen ausgestattet sind, um effektiv gegen ProxyLogon zu patchen.

“Das liegt daran, dass 1) ein Mangel an akkuraten Bestands- und Eigentumsinformationen besteht und 2) es zu lange dauert, bis das Patchen auf negative Auswirkungen auf das Unternehmen geprüft und die Zustimmung der Eigentümer der Anlagen/Geschäftsbereiche zum Patchen eingeholt wird”, erklärte er gegenüber Threatpost. “Wenn man nicht über ein genaues Inventar mit einem hohen Maß an Vertrauen verfügt, dauert es sehr lange, betroffene Systeme aufzuspüren. Man muss feststellen, wem sie gehören und ob die Anwendung des Patches die Funktion des Systems negativ beeinflussen würde. Verantwortungsvolles und rechtzeitiges Patchen erfordert viel proaktive Planung und Nachverfolgung.”

Er fügte hinzu, dass Unternehmen durch regelmäßiges Testen bestehender Kontrollen (Red-Teaming), die Suche nach Indikatoren für bestehende Schwachstellen und aktive Bedrohungen (Threat Hunting) und Investitionen/Korrekturen bei bestätigten Schwachstellen (Schwachstellenmanagement) viel besser in der Lage sein werden, sich auf neu auftretende Schwachstellen einzustellen und bei Bedarf ihre Incident-Response-Fähigkeiten einzusetzen.

APT-Aktivität hält an

Anfang März gab Microsoft bekannt, dass es mehrere Zero-Day-Exploits in freier Wildbahn entdeckt hat, die für Angriffe auf lokale Versionen von Microsoft Exchange-Servern genutzt werden.

Und in der Tat stellte Microsoft fest, dass Angreifer einer chinesischen APT namens Hafnium in der Lage waren, auf E-Mail-Konten zuzugreifen, eine Reihe von Daten zu stehlen und Malware auf den Zielrechnern abzulegen, um einen langfristigen Fernzugriff zu ermöglichen. Es ist auch offensichtlich, dass Hafnium nicht die einzige Partei von Interesse ist, laut mehreren Forschern; ESET sagte Anfang März, dass mindestens 10 verschiedene APTs den Exploit nutzen.

Die schiere Menge an APTs, die Angriffe durchführen, von denen die meisten in den Tagen vor dem Bekanntwerden von ProxyLogon begannen, hat Fragen nach der Herkunft des Exploits aufgeworfen – und die ESET-Forscher haben darüber nachgedacht, ob er im großen Stil im Dark Web verbreitet wurde.

Die APTs scheinen hauptsächlich auf Cyberspionage und Datendiebstahl aus zu sein, so die Forscher.

“Diese Einbrüche könnten im Hintergrund stattfinden, völlig unbemerkt. Erst nach Monaten oder Jahren wird klar, was gestohlen wurde”, so F-Secure. “Wenn ein Angreifer weiß, was er tut, sind die Daten höchstwahrscheinlich bereits gestohlen worden oder werden gerade jetzt gestohlen.”

Mehrere Versionen der On-Premise-Variante von Exchange sind anfällig für die vier Bugs, darunter Exchange 2013, 2016 und 2019. Cloud-basierte und gehostete Versionen sind nicht anfällig für ProxyLogon.

Patches reichen nicht aus; gehen Sie von einer Kompromittierung aus

Leider ist die Installation der ProxyLogon-Sicherheitspatches allein keine Garantie dafür, dass ein Server sicher ist – ein Angreifer könnte ihn bereits vor der Installation des Updates kompromittiert haben.

“Patchen ist wie das Schließen einer Tür. Deshalb wurden 92 Prozent der Türen geschlossen. Aber die Türen waren für eine relativ lange Zeit offen und allen schlechten Akteuren bekannt”, sagte Oliver Tavakoli, CTO bei Vectra, gegenüber Threatpost. “Es wird viel schwieriger sein, bereits kompromittierte Systeme zu identifizieren und zu beheben.”

Brandon Wales, der amtierende Direktor der Cybersecurity and Infrastructure Security Agency (CISA), sagte diese Woche in einem Webinar, dass “Patches nicht ausreichen.”

“Wir wissen, dass mehrere Angreifer Netzwerke kompromittiert haben, bevor Patches angewendet wurden”, sagte Wales während eines Cipher Brief-Webinars. Er fügte hinzu: “Sie sollten kein falsches Gefühl der Sicherheit haben. Sie sollten das Risiko vollständig verstehen. In diesem Fall, wie Sie erkennen können, ob Ihr System bereits kompromittiert ist, wie Sie es wiederherstellen können und ob Sie eine dritte Partei hinzuziehen sollten, wenn Sie dazu nicht in der Lage sind.”

Wie sich Unternehmen gegen ProxyLogon schützen können

Yonatan Amitay, Sicherheitsforscher bei Vulcan Cyber, erklärte gegenüber Threatpost, dass eine erfolgreiche Reaktion zur Entschärfung von Microsoft Exchange-Schwachstellen aus den folgenden Schritten bestehen sollte:

  • Installieren Sie Updates auf den betroffenen Exchange-Servern.
  • Untersuchen Sie auf Ausnutzung oder Indikatoren für Persistenz.
  • Beheben Sie alle identifizierten Ausnutzungen oder Persistenzen und untersuchen Sie Ihre Umgebung auf Indikatoren für seitliche Bewegungen oder weitere Kompromittierungen.

“Wenn Sie aus irgendeinem Grund Ihre Exchange-Server nicht sofort aktualisieren können, hat Microsoft eine Anleitung veröffentlicht, wie Sie diese Schwachstellen durch Neukonfiguration abmildern können – hier, da sie erkennen, dass die Anwendung der neuesten Patches auf Exchange-Servern Zeit und Planung erfordern kann, insbesondere wenn Organisationen nicht auf den neuesten Versionen und/oder den zugehörigen kumulativen und Sicherheits-Patches sind”, sagte er. “Beachten Sie, dass die vorgeschlagenen Abhilfemaßnahmen kein Ersatz für die Installation der Updates sind.”

Microsoft hat angesichts der anhaltenden Angriffswelle auch ein One-Click-Mitigation- und Remediation-Tool für kleine und mittlere Unternehmen herausgegeben.

Tavakoli von Vectra merkte an, dass die von Microsoft zur Verfügung gestellten Mitigationsanleitungen und -tools nicht notwendigerweise nach der Kompromittierung helfen – sie sind dazu gedacht, vor dem vollständigen Patchen des Exchange-Servers für Abhilfe zu sorgen.

“Das Endergebnis einer Kompromittierung spiegelt die Vorgehensweise einer jeden Angriffsgruppe wider, und die ist sehr viel variabler und weniger gut für eine automatische Bereinigung geeignet”, sagte er.

Milan Patel, Global Head of MSS bei BlueVoyant, sagte, dass die Identifizierung von nachfolgenden bösartigen Aktivitäten, nachdem die Bösewichte Zugriff auf ein Netzwerk erlangt haben, eine gute Bestandsaufnahme der Daten erfordert.

“Incident Response ist ein wichtiges reaktives Tool, das dabei hilft, herauszufinden, welche Daten von den Bösewichten berührt oder gestohlen worden sein könnten, nachdem sie sich Zugang zu den kritischen Systemen verschafft haben”, erklärte er gegenüber Threatpost. “Das ist entscheidend, denn es könnte den Unterschied zwischen einem kleinen Aufräumungsaufwand und einem möglichen Rechtsstreit bedeuten, weil sensible Daten aus dem Netzwerk gestohlen wurden.”

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community:

  • 21. April: Unterirdische Märkte: Ein Rundgang durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com