Exchange-Server werden aktiv über ProxyShell-Fehler angegriffen

  • Es gibt eine völlig neue Angriffsfläche in Exchange, wie ein Forscher auf der Black Hat herausfand, und Bedrohungsakteure nutzen jetzt Server aus, die für RCE-Fehler anfällig sind.

    Die Microsoft Exchange-Server-Honeypots von Forschern werden aktiv über ProxyShell ausgenutzt: Der Name eines Angriffs, der letzte Woche auf der Black Hat bekannt gegeben wurde und drei Schwachstellen ausnutzt, um nicht authentifizierten Angreifern die Ausführung von Remotecode (RCE) und das Abfangen von Klartextpasswörtern zu ermöglichen.

    In seiner Black-Hat-Präsentation letzte Woche sagte Devcore-Sicherheitsforscher Orange Tsai, dass eine Untersuchung zeigt, dass mehr als 400.000 Exchange-Server im Internet über Port 443 für den Angriff anfällig sind. Am Montag berichtete Jan Kopriva vom SANS Internet Storm Center, dass er über einen Shodan-Scan mehr als 30.000 anfällige Exchange-Server gefunden hat und dass es für jeden Bedrohungsakteur, der diesen Titel verdient, ein Kinderspiel wäre, einen solchen Angriff durchzuführen, da so viele Informationen verfügbar sind.

    Nach den von dem Sicherheitsforscher Kevin Beaumont getwitterten Berechnungen bedeutet dies, dass laut einer Shodan-Suche zwischen ProxyLogon und ProxyShell “knapp 50 Prozent der mit dem Internet verbundenen Exchange-Server” derzeit anfällig für Angriffe sind.

    Aufschlüsselung der Exchange-Server auf Shodan, die für ProxyShell oder ProxyLogon anfällig sind: knapp 50 % der Exchange-Server mit Internetanschluss. pic.twitter.com/3samyNHBpB

    – Kevin Beaumont (@GossiTheDog) August 13, 2021

    Positiv ist, dass Microsoft bereits Patches für alle betroffenen Schwachstellen veröffentlicht hat, und, man kann nur die Daumen drücken, dass die meisten Unternehmen, die Sicherheit zumindest einigermaßen ernst nehmen, die Patches bereits angewendet haben”, schrieb Kopriva.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/10165815/infosec_insiders_in_article_promo.png]

    Die Sicherheitslücken betreffen Exchange Server 2013, 2016 und 2019.

    Am Donnerstag gaben Beaumont und der Schwachstellenforscher der NCC Group, Rich Warren, bekannt, dass Bedrohungsakteure ihre Microsoft Exchange-Honeypots mithilfe der ProxyShell-Schwachstelle ausgenutzt haben.

    “Wir haben begonnen, in freier Wildbahn Exploit-Versuche gegen unsere Honeypot-Infrastruktur für die Exchange ProxyShell-Schwachstellen zu sehen”, twitterte Warren zusammen mit einem Screenshot des Codes für eine c# aspx webshell, die im Verzeichnis /aspnet_client/ abgelegt wurde.

    Wir haben begonnen, in freier Wildbahn Exploit-Versuche gegen unsere Honeypot-Infrastruktur für die Exchange ProxyShell-Schwachstellen zu beobachten. Bei diesem Versuch wurde eine c# aspx webshell im Verzeichnis /aspnet_client/ abgelegt: pic.twitter.com/XbZfmQQNhY

    – Rich Warren (@buffaloverflow) August 12, 2021

    Beaumont hat getwittert, dass er das Gleiche beobachtet und es mit Tsais Vortrag in Verbindung gebracht hat: “Exchange ProxyShell exploitation wave has started, looks like some degree of spraying. Zufällige Shell-Namen für späteren Zugriff. Verwendet foo name aus @orange_8361’s initial talk.”

    Exchange ProxyShell-Exploitation-Welle hat begonnen, sieht aus wie ein gewisses Maß an Sprühen. Zufällige Shell-Namen für späteren Zugriff. Verwendet den Namen foo aus @orange_8361s ursprünglichem Vortrag.

    – Kevin Beaumont (@GossiTheDog) August 12, 2021

    Gefährliches Skaten auf der neuen Angriffsfläche

    In einem Beitrag am Sonntag berichtete Tsai über den ProxyLogon-Konzeptnachweis, den Devco Ende Februar an MSRC meldete, und erklärte, dass dies die Forscher “genauso neugierig machte wie alle anderen, nachdem sie die Möglichkeit eines Lecks auf unserer Seite durch eine gründliche Untersuchung ausgeschlossen hatten.

    “Mit dem Auftauchen einer klareren Zeitlinie und weiteren Diskussionen scheint es nicht das erste Mal zu sein, dass Microsoft so etwas passiert”, fuhr er fort. Mail-Server sind sowohl ein wertvolles Gut als auch ein scheinbar unwiderstehliches Ziel für Angreifer, da sie vertrauliche Geschäftsgeheimnisse und Unternehmensdaten enthalten.

    “Mit anderen Worten: Die Kontrolle über einen Mailserver bedeutet die Kontrolle über die Lebensader eines Unternehmens”, erklärte Tsai. “Als die am häufigsten genutzte E-Mail-Lösung ist Exchange Server seit langem das Hauptziel für Hacker. Nach unseren Recherchen gibt es mehr als vierhunderttausend Exchange Server, die im Internet exponiert sind. Jeder Server steht für ein Unternehmen, und Sie können sich vorstellen, wie schrecklich es ist, wenn eine schwerwiegende Sicherheitslücke in Exchange Server auftaucht.”

    Während seiner Black-Hat-Präsentation erklärte Tsai, dass die neue Angriffsfläche, die sein Team entdeckt hat, auf “einer bedeutenden Änderung in Exchange Server 2013 basiert, bei der der grundlegende Protokoll-Handler, Client Access Service (CAS), in Frontend und Backend aufgeteilt wird” – eine Änderung, die “eine ganze Menge Design” nach sich zog und acht Schwachstellen hervorbrachte, bestehend aus serverseitigen Fehlern, clientseitigen Fehlern und Krypto-Fehlern.

    Er fasste die Fehler in drei Angriffsvektoren zusammen: Das inzwischen berühmte ProxyLogon, das vor einigen Monaten eine Patching-Wut auslöste, der ProxyShell-Vektor, der jetzt aktiv angegriffen wird, und ein weiterer Vektor namens ProxyOracle.

    “Diese Angriffsvektoren ermöglichen es jedem nicht authentifizierten Angreifer, Klartextpasswörter auszuspähen und sogar beliebigen Code auf Microsoft Exchange-Servern über Port 443 auszuführen, der von etwa 400.000 Exchange-Servern dem Internet ausgesetzt ist”, heißt es in der Einleitung der Präsentation.

    Die drei Exchange-Schwachstellen, die alle gepatcht sind, die Tsai für den ProxyShell-Angriff verkettet hat:

    • CVE-2021-34473 – Pre-Auth-Pfad-Verwirrung führt zu ACL-Umgehung
    • CVE-2021-34523 – Erhöhung der Berechtigung auf dem Exchange PowerShell-Backend
    • CVE-2021-31207 – Beliebiges Schreiben von Dateien nach der Autorisierung führt zu RCE

    ProxyShell brachte dem Devcore-Team ein Kopfgeld in Höhe von 200.000 US-Dollar ein, nachdem sie die Fehler verwendet hatten, um beim Pwn2Own-Wettbewerb 2021 im April einen Exchange-Server zu übernehmen.

    Während seines Black Hat-Vortrags sagte Tsai, dass er die Exchange-Schwachstellen entdeckte, als er die Angriffsfläche von Microsoft Exchange CAS ins Visier nahm. Wie Tsai erklärte, ist CAS “eine grundlegende Komponente” von Exchange.

    Er verwies auf die Dokumentation von Microsoft, in der es heißt:

    “Mailbox-Server enthalten die Client Access-Dienste, die Client-Verbindungen für alle Protokolle akzeptieren. Diese Frontend-Dienste sind für das Routing oder Proxying von Verbindungen zu den entsprechenden Backend-Diensten auf einem Mailbox-Server verantwortlich.”

    “Anhand der Schilderung konnte man erkennen, wie wichtig CAS ist, und man konnte sich vorstellen, wie kritisch es ist, wenn in einer solchen Infrastruktur Fehler gefunden werden. CAS war der Bereich, auf den wir uns konzentrierten und wo die Angriffsfläche erschien”, schrieb Tsai. “CAS ist die grundlegende Komponente, die für die Annahme aller Verbindungen von der Client-Seite zuständig ist, egal ob es sich um HTTP, POP3, IMAP oder SMTP handelt, und die Verbindungen an den entsprechenden Backend-Dienst weiterleitet.”

    ProxyShell nur die “Spitze des Eisbergs

    Von allen Fehlern, die er in der neuen Angriffsfläche gefunden hat, bezeichnete Tsai CVE-2020-0688 (eine RCE-Schwachstelle, die einen fest kodierten kryptografischen Schlüssel in Exchange betrifft) als den “überraschendsten”.

    “Mit diesem fest codierten Schlüssel kann ein Angreifer mit geringen Rechten den gesamten Exchange Server übernehmen”, schrieb er. “Und wie Sie sehen können, könnte selbst im Jahr 2020 noch ein dummer, hart kodierter kryptografischer Schlüssel in einer wichtigen Software wie Exchange gefunden werden. Dies deutet darauf hin, dass es Exchange an Sicherheitsüberprüfungen mangelt, was mich auch dazu inspiriert hat, mich eingehender mit der Exchange-Sicherheit zu beschäftigen.”

    Die “interessanteste” Schwachstelle sei jedoch CVE-2018-8581, sagte er, die von jemandem aufgedeckt wurde, der mit dem ZDI zusammenarbeitete. Obwohl es sich um eine “einfache” serverseitige Anforderungsfälschung (SSRF) handelt, könnte sie mit NTLM Relay kombiniert werden, was dem Angreifer ermöglicht, “eine langweilige SSRF in etwas wirklich Ausgefallenes zu verwandeln”, so Tsai.

    So könnte er zum Beispiel den gesamten Domain Controller über ein Konto mit geringen Rechten kontrollieren”, so Tsai.

    Autodiscover wird in die ProxyShell integriert

    Wie BleepingComputer berichtete, erklärte Tsai während seiner Präsentation, dass eine der Komponenten der ProxyShell-Angriffskette auf den Microsoft Exchange Autodiscover-Dienst abzielt: ein Dienst, der die Konfiguration und Bereitstellung erleichtert, indem er Clients mit minimalen Benutzereingaben Zugriff auf Exchange-Funktionen bietet.

    Der Vortrag von Tsai löste offensichtlich eine Welle von Scans nach den Schwachstellen durch Angreifer aus.

    Nachdem sie die Präsentation gesehen hatten, replizierten andere Sicherheitsforscher den ProxyShell-Exploit. Am Tag nach Tsais Vortrag, am vergangenen Freitag, veröffentlichten PeterJson und Nguyen Jang detailliertere technische Informationen über ihre erfolgreiche Reproduktion des Exploits.

    Kurz darauf twitterte Beaumont über einen Bedrohungsakteur, der seinen Exchange-Honeypot mithilfe des Autodiscover-Dienstes sondierte. Seit gestern, dem 12. August, werden diese Server mit autodiscover.json angegriffen, twitterte er.

    Exchange ProxyShell-Exploitation-Welle hat begonnen, sieht aus wie ein gewisses Maß an Sprühen. Zufällige Shell-Namen für späteren Zugriff. Verwendet foo-Name aus @orange_8361’s ursprünglichem Vortrag.

    – Kevin Beaumont (@GossiTheDog) August 12, 2021

    Ab Donnerstag legte ProxyShell eine 265K-Webshell – die minimale Dateigröße, die über ProxyShell aufgrund der Verwendung der Mailbox-Exportfunktion von Exchange Powershell zur Erstellung von PST-Dateien erstellt werden kann – im Ordner “c:inetpubwwwrootaspnet_client” ab. Warren teilte ein Beispiel mit BleepingComputer, das zeigte, dass die Webshells aus einem einfachen authentifizierungsgeschützten Skript bestehen, das die Bedrohungsakteure verwenden können, um Dateien auf den kompromittierten Microsoft Exchange-Server hochzuladen”.

    Bad Packets teilte dem Unternehmen mit, dass seit Donnerstag Bedrohungsakteure von IP-Adressen in den USA, dem Iran und den Niederlanden aus unter Verwendung der Domänen @abc.com und @1337.com von den bekannten Adressen 3.15.221.32 und 194.147.142.0/24 aus nach anfälligen ProxyShell-Geräten suchen.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/27093135/threatpost-webinar-300x51.jpg]Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Melden Sie sich JETZT für unser kommendes Live-Webinar “How to Think Like a Threat Actor” an, das in Zusammenarbeit mit Uptycs am 17. August um 11 AM EST stattfindet, und finden Sie heraus, wo genau Angreifer Sie ins Visier nehmen und wie Sie dort zuerst ankommen. Schließen Sie sich der Moderatorin Becky Bracken und den Uptycs-Forschern Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST für diese LIVE-Diskussion an.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com