Aktiv ausgenutzte Zero-Day-Schwachstellen in Microsoft Exchange – CVE-2021-26855 (ProxyLogon), CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065

veröffentlicht: 04.03.2021 12:45 Uhr
zuletzt aktualisiert ^*: 15.03.2021 09:28 Uhr
(Aktualisierungen sind innerhalb des Textes gekennzeichnet)

Vier Zero-Day-Schwachstellen in der E-Mail-Lösung Exchange von Microsoft wurden durch Updates behoben, die Microsoft am 2. März 2021 veröffentlicht hat. Davon betroffen ist Microsoft Exchange Server, jedoch nicht Exchange Online. ^[1]

Die Schwachstellen, von denen drei als kritisch eingestuft wurden, werden aktiv ausgenutzt, insbesondere von der chinesischen Hackergruppe «Hafnium». Die Angreifer verschafften sich Zugriff auf die Server und konnten so Zugangsdaten und E-Mails exfiltrieren. ^[2]

[Aktualisierung 15.03.2021 09:28 Uhr] Microsoft informiert auf Twitter, dass Ransomware über bereits kompromittierte oder noch verwundbare Microsoft Exchange Server verteilt wird. ^[19]

Es wurden bereits mehr als 100 Web-Shells auf etwa 1.500 verwundbaren Servern entdeckt und es ist zu erwarten, dass diese Zahl weiter ansteigt. ^[3] [Aktualisierung 12.03.2021 16:14 Uhr] In der Schweiz gibt es über 2.500 sehr wahrscheinlich verwundbare Server von über 7.000 Systemen, auf denen mit hoher Wahrscheinlichkeit Microsoft Exchange Server betrieben wird. ^[4],[5] Daher wird dringend empfohlen, die Systeme so schnell wie möglich zu aktualisieren.

Was bedeutet das nun?

Die Sicherheitslücken (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065) werden ausgenutzt, um die On-Premise-Exchange-Server anzugreifen. Hafnium zielt hauptsächlich auf US-amerikanische Unternehmen aus dem industriellen Sektor ab und nutzt vor allem in den Vereinigten Staaten gemietete Virtual Private Server (VPS). ^[6]

Die vier Schwachstellen bilden eine Angriffskette. Zunächst muss eine Verbindung auf Port 443 des Exchange-Servers aufgebaut werden. ^[1]

CVE-2021-26855 ist eine Server-Side-Request-Forgery-Schwachstelle (SSRF). Sie kann ohne Authentifizierung und ohne Benutzerinteraktion aus der Ferne ausgenutzt werden. ^[7] Beliebige HTTP-Anfragen können von einem Angreifer gesendet werden und erlauben ihm, sich als Exchange-Server zu authentifizieren. ^[6] [Aktualisierung 11.03.2021 14:52 Uhr] Die Schwachstelle CVE-2021-26855 ist getauft auf den Namen «ProxyLogon» ^[14], aber auch die Kombination der vier Schwachstellen wird von den Medien so bezeichnet.

Durch die Ausnutzung von CVE-2021-26857 kann ein Angreifer Code als SYSTEM auf dem Exchange-Server ausführen. Es handelt sich dabei um eine Schwachstelle im Zusammenhang mit unsicherer Deserialisierung im Unified-Messaging-Dienst. Um diese auszunutzen, sind Administratorrechte erforderlich, die über die zuvor genannte Sicherheitslücke oder durch Kompromittierung der Zugangsdaten eines legitimen Administrators erlangt werden können.

Die letzten beiden Sicherheitslücken, CVE-2021-26858 und CVE-2021-27065, ermöglichen das Schreiben beliebiger Dateien nach der Authentifizierung in Exchange.

Laut Volexity waren die Angreifer in der Lage, Web-Shells (.aspx-Dateien) auf die Festplatte zu schreiben und weitere Aktionen durchzuführen, um Zugangsdaten zu erlangen, Benutzerkonten hinzuzufügen, Kopien der Active-Directory-Datenbank (NTDS.DIT) zu stehlen und weitere Systeme zu kompromittieren. ^[6]

Wie können sich Unternehmen gegen solche Angriffe schützen?

Von der Sicherheitslücke betroffene Versionen sind Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019. ^[1]

Es wird daher dringend empfohlen, umgehend die folgenden Updates zu installieren: ^[9]

• Kumulatives Update 23 für Microsoft Exchange Server 2013
• Kumulative Updates 18 und 19 für Microsoft Exchange Server 2016
• Kumulative Updates 7 und 8 für Microsoft Exchange Server 2019

Es wird zudem empfohlen, ein Antivirenprogramm zu verwenden und das Programm sowie seine Signaturen stets auf dem neuesten Stand zu halten.

Ausserdem kann präventiv ein zweiter Authentisierungsfaktor (2FA) eingesetzt werden, um die Verwendung von kompromittierten Zugangsdaten zu verhindern. Der Angriff selbst kann damit jedoch nicht verhindert werden.

[Aktualisierung 11.03.2021 14:52 Uhr] Befindet sich der Exchange-Server auf einem veralteten Patchstand und verfügt nicht über ein aktuelles kumulatives Update, kann ein separates Sicherheitsupdate installiert werden. Damit soll erreicht werden, dass die entsprechende Sicherheitslücke möglichst zeitnah behoben wird. Microsoft stellt das Update unter KB5000871 zur Verfügung. ^[15]

Was sollte unternommen werden?

Es sollte dringend überprüft werden, ob die Exchange-Server auf dem neuesten Stand und somit nicht mehr für diese Sicherheitslücken anfällig sind. Dies kann mithilfe der von Microsoft und anderen zur Verfügung gestellten Skripte^[11] durchgeführt werden. ^[9]

Um zu erkennen, ob die Exchange-Server kompromittiert wurden, sollte sowohl in den Exchange-Protokollen als auch auf den Servern selbst nach den von Microsoft und Volexity bereitgestellten IOCs (Indicators of Compromise) ^[6],[8] gesucht werden.

[Aktualisierung 11.03.2021 14:52 Uhr] Microsoft hat das PowerShell-Skript Test-ProxyLogon.ps1 veröffentlicht, das in Logeinträgen automatisiert nach bekannten Angriffsmerkmalen sucht. ^[16]

Wenn eine verwundbare Version von Exchange Server verwendet wird und insbesondere wenn Spuren einer Ausnutzung der Schwachstellen gefunden wurden, wird dringend empfohlen, die Zugangsdaten der Benutzer zu ändern.

[Aktualisierung 11.03.2021 14:52 Uhr] Das weitere Vorgehen ist auf der Webseite des GovCERT ^[17] ersichtlich.

Fragen an den Spezialisten

Penetration Tester

Nachfolgend erläutert Markus Schalch, Principal Penetration Tester & Security Researcher, zwei Fragen aus der Sicht eines Red Teams, die im Zusammenhang mit diesen Schwachstellen interessant sind:

Was kann ein Angreifer anstellen?

Ein Angreifer erhält die komplette Kontrolle über den angegriffenen Exchange-Server aus dem Internet, ohne vorher bereits Zugangsdaten zu besitzen. Diesen Zugang kann er einerseits direkt auf dem betroffenen Server ausnutzen und beispielsweise beliebige E-Mails oder wertvolle Zugangsdaten auslesen. Er kann den kompromittierten Server aber auch missbrauchen, um sich weiter im Netzwerk zu verbreiten und andere Server anzugreifen. Die Erfolgschancen für eine weitere Verbreitung sind hoch, da der Exchange-Server in vielen IT-Infrastrukturen ein zentrales Element darstellt und vergleichsweise hohe Berechtigungen besitzt.

Wie unterscheidet sich dieser Vorfall von einem erfolgreichen Phishing-Angriff?

Der Angriff findet komplett ohne Benutzerinteraktion statt. Einzige Voraussetzung für den Angriff ist ein im Internet verfügbarer Endpunkt eines betroffenen Exchange-Servers. Der Angreifer erhält administrative Rechte auf dem Exchange-Server, was mit Phishing-Angriffen in der Regel erst nach mehreren Ausbreitungsschritten erreicht werden kann.

IT-Forensik-Spezialist und Incident Responder

Nadia Meichtry, Digital Forensics und Incident Response Specialist, beantwortet drei Fragen aus der Sicht eines Blue Teams, die im Zusammenhang mit diesen Schwachstellen interessant sind:

Wie kann man feststellen, ob der Exchange-Server kompromittiert wurde?

Zunächst kann mit einer Antiviren-Software geprüft werden, ob hochgeladene Dateien vorhanden sind und als bösartig erkannt werden.

Anschliessend sollte auf dem Server und in den Protokollen nach IOCs gesucht werden. [Aktualisierung 15.03.2021 09:28 Uhr] Folgen Sie hierzu bitte den Empfehlungen vom GovCERT (Kapitel «Search for Forensic Artifacts» und «Analyse your logfiles»). ^[17]

Beispiele für bereits gefundene Web-Shell-Dateien:

• FU7Vif5K.aspx
• ICK4sMeJ.aspx
• jFabdYwZ.aspx
• hjmQWreC.aspx
• CX47ujQS.aspx
• gwVPU69R.aspx
• M2gRp7Zo.aspx
• XJrBqeul.aspx
• Tx2tWFMb.aspx
• supp0rt.aspx
• HttpProxy.aspx
• shell.aspx
• shellex.aspx
• errorcheck.aspx
• t.aspx
• discover.aspx
• aspnettest.aspx
• error.aspx ^[3]

Dateien wie Archivdateien (z. B. .zip oder .tar), die zur Exfiltration verwendet werden können, sind ebenfalls auf dem System zu finden, insbesondere in C:\ProgramData. ^[6]

In den Zugriffsprotokollen wird auch nach ungewöhnlichen Zugriffen gesucht, zum Beispiel zu einer unerwarteten Zeit oder aus einem unerwarteten Land.

Die Verwendung von Zugangsdaten, die durch die Ausnutzung der Sicherheitslücken kompromittiert wurden, kann es Angreifern ermöglichen, weitere Systeme zu kompromittieren. Die Zugriffsprotokolle enthalten auch Hinweise darauf, welche weiteren Systeme kompromittiert wurden.

[Aktualisierung 11.03.2021 14:52 Uhr] Weitere Methoden und Werkzeuge, die von Angreifern verwendet werden, sowie Erkennungs- und Prüfungsmöglichkeiten einer Kompromittierung durch einen Angreifer mitsamt weiterführenden Links werden im «Blue Team»-Blog vorgestellt.

[Aktualisierung 15.03.2021 09:28 Uhr] Microsoft hat neue Beobachtungen aus seinen Incident-Response-Einsätzen veröffentlicht. ^[20] Besonders interessant ist der Fund einer Hintertür, die sich als Exchange Transport Agent registriert und damit in den Verarbeitungsprozess von E-Mails einnistet. Wir empfehlen Ihnen mit dem PowerShell-Befehl Get-TransportAgent ^[21] die installierten Exchange Transport Agents auszugeben und zu prüfen, ob einer dieser auffällig oder unerwartet (z. B. auffälliger Dateipfad oder Dateiname) ist.

Wie kann sich ein Unternehmen gegen solche Angriffe schützen?

Zunächst müssen die Schwachstellen durch die Installation von Updates behoben werden. Hierzu hat Microsoft bereits Patches bereitgestellt, mit denen diese Schwachstellen behoben wurden. ^[7]

Zugänge können zudem durch die Verwendung eines zweiten Authentisierungsfaktors (2FA) abgesichert werden. Dadurch wird der Missbrauch von kompromittierten Zugangsdaten verhindert.

Darüber hinaus kann die Netzwerksegmentierung bei der erfolgreichen Ausnutzung von Schwachstellen die Bewegung von Angreifern im Netzwerk verhindern oder zumindest verlangsamen.

Die Schwachstellen wurden ausgenutzt und es kam zu einem Zugriff auf das Netzwerk. Was sind die nächsten Schritte?

Alle Zugangsdaten müssen sofort geändert werden, da sie den Angreifern potenziell bekannt sind, wenn die Sicherheitslücken erfolgreich ausgenutzt wurden.

Die Aktivitäten, welche die Angreifer mit diesen kompromittierten Zugangsdaten durchführen, müssen überwacht werden. Angreifer können neue Benutzerkonten erstellen, Dateien herunterladen und ausführen oder Verbindungen zu anderen Systemen herstellen. So können weitere kompromittierte Systeme entdeckt werden.

Des Weiteren muss auf allen Systemen, auf welche die Angreifer Zugriff hatten, ein Antiviren-Scan durchgeführt werden.

Im Falle einer Kompromittierung empfiehlt es sich, eine forensische Untersuchung der betroffenen Systeme und Protokolle durchzuführen, um die genauen Aktivitäten der Angreifer zu analysieren. Es sollte damit auch festgestellt werden, ob die Angreifer Persistenz-Mechanismen, z. B. die Erstellung neuer Benutzerkonten, verwendet haben, um später wieder Zugriff auf die Systeme zu erhalten.

Fazit

Durch das Ausnutzen der Sicherheitslücken können Angreifer einfach administrativen Zugriff auf den Exchange-Server erlangen und sich von dort aus Zugriff zu anderen Systemen in verbundenen Netzwerken verschaffen. Es wird daher dringend empfohlen, die von Microsoft bereitgestellten Updates zu installieren und Untersuchungen zu einer möglichen Kompromittierung zu forcieren, falls eine verwundbare Version von Exchange Server verwendet wird.

Grundsätzlich wird empfohlen, alle IT-Komponenten im Netzwerk zu inventarisieren und diese regelmässig auf Schwachstellen zu überprüfen. Darüber hinaus sollte dafür gesorgt werden, dass sowohl Software als auch sämtliche Systeme stets auf dem neuesten Stand gehalten werden.

Über den Autor

Nadia Meichtry studierte forensische Wissenschaften an der Universität von Lausanne und schloss im Sommer 2020 ihren Master in digitaler Forensik ab. Während ihres Studiums absolvierte sie ein Praktikum im Forensik-Team der Kantonspolizei Waadt. Ihre Masterarbeit schrieb sie während eines 4-monatigen Praktikums in einem Cybersicherheitsunternehmen in Wien. Der Fokus ihrer Masterarbeit lag auf der Analyse der Firmware von IoT-Geräten. Im ersten Teil ihrer Arbeit beschäftigte sie sich mit der Schwachstellenbewertung von mehreren Versionen derselben Firmware durch den Einsatz verschiedener Schwachstellen-Scanner. Der zweite Teil befasste sich mit der forensischen Analyse von kompromittierten IoT-Geräten. Seit August 2020 ist Nadia Meichtry als Digital Forensics & Incident Response Specialist bei Oneconsult angestellt.

^*Aktualisierungen im Artikel stammen auch von anderen Autoren als der/dem namentlich genannten Autor/-in.

Über Oneconsult

Die Oneconsult-Unternehmensgruppe ist seit 2003 Ihr renommierter Schweizer Cybersecurity Services Partner mit Büros in der Schweiz und Deutschland und 2000+ weltweit durchgeführten Security-Projekten.

Erhalten Sie kompetente Beratung vom inhabergeführten und herstellerunabhängigen Cybersecurity-Spezialisten mit 40+ hochqualifizierten Cybersecurity Experten, darunter zertifizierte Ethical Hacker / Penetration Tester (OPST, OPSA, OSCP, OSCE, GXPN), IT-Forensiker (GCFA, GCFE, GREM, GNFA), ISO Security Auditoren (ISO 27001 Lead Auditor, ISO 27005 Risk Manager, ISO 27035 Incident Manager) und dedizierte IT Security Researcher, um auch Ihre anspruchsvollsten Herausforderungen im Informationssicherheitsbereich zu bewältigen. Gemeinsam gehen wir Ihre externen und internen Bedrohungen wie Malware-Infektionen, Hacker-Attacken und APT sowie digitalen Betrug und Datenverlust mit Kerndienstleistungen wie Penetration Tests / Ethical Hacking, APT Tests unter Realbedingungen und ISO 27001 Security Audits an. Bei Notfällen können Sie rund um die Uhr (24 h x 365 Tage) auf die Unterstützung des Digital Forensics & Incident Response (DFIR) Expertenteams von Oneconsult zählen.

www.oneconsult.com