Hacker suchen aktiv nach ungepatchten Microsoft Exchange-Servern

  • Bedrohungsakteure führen aktiv opportunistisches Scannen und Ausnutzen von Exchange-Servern durch, indem sie eine neue Exploit-Kette verwenden, die ein Trio von Schwachstellen ausnutzt, die sich auf lokale Installationen auswirken. Dies ist die jüngste Reihe von Fehlern, nachdem die ProxyLogon-Schwachstellen Anfang des Jahres massenhaft ausgenutzt wurden.

    Die Schwachstellen, die Remotecodeausführung ermöglichen, wurden unter dem Namen “ProxyShell” zusammengefasst. Laut einem Shodan-Scan, der von Jan Kopriva vom SANS Internet Storm Center durchgeführt wurde, sind mindestens 30.000 Computer von den Sicherheitslücken betroffen.

    “Wir haben begonnen, in freier Wildbahn Exploit-Versuche gegen unsere Honeypot-Infrastruktur für die Exchange ProxyShell-Schwachstellen zu sehen”, twitterte Richard Warren von der NCC Group und merkte an, dass einer der Eindringlinge zur Bereitstellung einer “C# aspx webshell im /aspnet_client/ Verzeichnis” führte.

    ProxyLogon wurde Anfang März 2021 gepatcht und ist der Name für CVE-2021-26855, eine Schwachstelle für serverseitige Anforderungsfälschung in Exchange Server, die es einem Angreifer ermöglicht, als Administrator die Kontrolle über einen anfälligen Server zu übernehmen, und die mit einer anderen Schwachstelle für das willkürliche Schreiben von Dateien nach der Authentifizierung, CVE-2021-27065, gekoppelt werden kann, um Codeausführung zu erreichen.

    [Blocked Image: https://thehackernews.com/images/-c9dgmAKoN_s/YLy9MwSA5HI/AAAAAAAA4BI/hJfAZal3vaMbpnSbjpBWkZ-bT_62BsztwCLcBGAsYHQ/s728-e100/auth_728.jpg]

    Die Schwachstellen wurden bekannt, nachdem Microsoft eine von Peking gesponserte Hacking-Operation aufgedeckt hatte, bei der die Schwachstellen ausgenutzt wurden, um in begrenzten und gezielten Angriffen auf Unternehmen in den USA Informationen abzuschöpfen.

    Seitdem hat der Windows-Hersteller sechs weitere Schwachstellen in seiner Mail-Server-Komponente behoben, von denen zwei als ProxyOracle bezeichnet werden, die es einem Angreifer ermöglichen, das Passwort des Benutzers im Klartextformat wiederherzustellen.

    Drei weitere Schwachstellen – bekannt als ProxyShell – könnten dazu missbraucht werden, ACL-Kontrollen zu umgehen, die Rechte am Exchange PowerShell-Backend zu erhöhen, den Angreifer effektiv zu authentifizieren und die Ausführung von Remotecode zu ermöglichen. Microsoft wies darauf hin, dass sowohl CVE-2021-34473 als auch CVE-2021-34523 versehentlich bis Juli nicht veröffentlicht wurden.

    ProxyLogon:

    • CVE-2021-26855 – Microsoft Exchange Server Sicherheitslücke bei der Remotecodeausführung (gepatcht am 2. März)
    • CVE-2021-26857 – Sicherheitsanfälligkeit bei der Remotecodeausführung von Microsoft Exchange Server (gepatcht am 2. März)
    • CVE-2021-26858 – Sicherheitsanfälligkeit bei der Remotecodeausführung von Microsoft Exchange Server (gepatcht am 2. März)
    • CVE-2021-27065 – Sicherheitsanfälligkeit bei der Remotecodeausführung von Microsoft Exchange Server (gepatcht am 2. März)

    ProxyOracle:

    • CVE-2021-31195 – Microsoft Exchange Server Sicherheitslücke bei der Remotecodeausführung (gepatcht am 11. Mai)
    • CVE-2021-31196 – Sicherheitsanfälligkeit in Microsoft Exchange Server bezüglich Remotecodeausführung (gepatcht am 13. Juli)

    ProxyShell:

    • CVE-2021-31207 – Microsoft Exchange Server-Sicherheitsfeature-Bypass-Schwachstelle (gepatcht am 11. Mai)
    • CVE-2021-34473 – Microsoft Exchange Server-Schwachstelle bei der Remotecodeausführung (gepatcht am 13. April, Hinweis am 13. Juli veröffentlicht)
    • CVE-2021-34523 – Microsoft Exchange Server Sicherheitsanfälligkeit durch Erhöhung der Privilegien (gepatcht am 13. April, Mitteilung veröffentlicht am 13. Juli)

    Sonstiges:

    • CVE-2021-33768 – Microsoft Exchange Server Sicherheitslücke durch Erhöhung der Berechtigung (gepatcht am 13. Juli)

    Die technischen Details der ProxyShell-Angriffskette, die ursprünglich beim Pwn2Own-Hacking-Wettbewerb im April dieses Jahres demonstriert wurde, wurden letzte Woche von DEVCORE-Forscher Orange Tsai auf den Sicherheitskonferenzen Black Hat USA 2021 und DEF CON bekannt gegeben. Um Angriffsversuche zu verhindern, wird Unternehmen dringend empfohlen, die von Microsoft veröffentlichten Updates zu installieren.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com