Exchange ProxyLogon-News: Patchstand, neuer PoC und neue Erkenntnisse (18.3.2021)

Publiziert am 18. März 2021 von Günter Born

[English]Bezüglich der Exchange ProxyLogon-Schwachstellen gibt es ein öffentlich verfügbares Proof of Concept (PoC), mit neuen Angriffen ist also zu rechnen. Das Patchen und Absichern kommt langsam voran. Microsofts Prüfscripte sollten aktuell gehalten werden, sonst scheitern die Tests. Und es gibt neue Indicator of Compromise (IoC) für Angriffe auf Exchange Server.

Anzeige

Öffentlich verfügbarer Exploit

Vor einigen Tagen ist mir bereits der nachfolgende Tweet unter die Augen gekommen. Es gibt einen funktionalen Exploit, um über die Schwachstelle  CVE-2021-26855 E-Mails aus Postfächern von OWA-Instanzen herunterzuladen.

Exchange ProxyLogon Exploit

Das Ganze ist in Python geschrieben und über GitHub abrufbar. Es ist also nur eine Frage der Zeit, bis Script-Kiddies so etwas ausnutzen. Die Kollegen von Bleeping Computer haben die Tage diesen Beitrag zum Thema veröffentlicht.

Details zur DearCry-Ransomware

Auch von Palo Alto Networks habe ich die Information, dass die Schwachstellen zunehmend von Cyber-Kriminellen ausgenutzt werden. Mit der hier im Blog bereits erwähnten DearCry-Ransomware versuchen die Cyber-Kriminellen Firmen mit verwundbaren Exchange-Servern zu erpressen. DearCry ist eine neue Ransomware-Variante, bei der beobachtet wurde, dass sie die ProxyLogon-Schwachstellen von Microsoft Exchange-Servern für den Erstzugriff ausnutzt. Erste Berichte über das Auftauchen von DearCry-Erpresserbriefen in Verbindung mit der Kompromittierung von Microsoft Exchange Servern über ProxyLogon-Schwachstellen tauchten bereits am 9. März 2021 auf.

Wie bei der Mehrzahl der Ransomware-Varianten legen die Akteure auch bei DearCry eine Lösegeldforderung auf dem Desktop des Opfers ab. Anstatt jedoch einen festen Lösegeldbetrag zu fordern und eine Bitcoin-Wallet-Adresse anzugeben, enthält die DearCry-Notiz zwei E-Mail-Adressen, die das Opfer kontaktieren soll. Ebenso ist eine Anforderung enthalten, einen bereitgestellten Hash zu senden.

Während der Ausführung führt DearCry auch einen Dienst namens „msupdate" aus, der nicht zum Windows-Betriebssystem gehört. Dieser Dienst wird später entfernt, wenn die Ransomware ihren Verschlüsselungsprozess beendet hat. Darüber hinaus werden alle logischen Laufwerke des Windows-Betriebssystems, mit Ausnahme von CD-ROM-Laufwerken, auf dem System des Opfers aufgezählt, damit die Ransomware mit der Verschlüsselung von Dateien unter Verwendung eines öffentlichen RSA-Schlüssels beginnen kann.

DearCry ist eine neue Ransomware, die ProxyLogon-Schwachstellen von Microsoft Exchange-Servern ausnutzt. Darüber hinaus ist sie ein perfektes Beispiel dafür, wie Bedrohungsakteure die Bedrohungslandschaft beeinflussen können, indem sie neu entdeckte Schwachstellen ausnutzen, um schnellen Profit zu machen. Palo Alto Networks rät dringend dazu, alle Microsoft Exchange Server sofort auf die neuesten verfügbaren, von Microsoft veröffentlichten Patch-Versionen zu aktualisieren. Mehr Details zu DearCry finden sich in diesem Artikel. Im Beitrag ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren hatte ich ja alles Wissenswerte zum Schließen der Schwachstellen für Administratoren verlinkt.

Das Patch-Tempo nimmt zu

Die gute Nachricht des Tages lautet, dass die Exchange-Administratoren endlich in die Pötte kommen und die verwundbaren Systeme aus dem Internet nehmen sowie patchen.

Anzeige

Exchange-Server in Deutschland

CERT-Bund hat kürzlich die obigen Zahlen veröffentlicht, nachdem 9.000 Exchange-Server in den letzten zwei Wochen offline genommen wurden bzw. der Zugriff auf OWA aus dem Internet unterbunden wurde. Allerdings sind noch ca. 12.000 von 56.000 Exchange-Servern mit offenem OWA in Deutschland für ProxyLogon verwundbar.

Auch von Palo Alto Networks habe ich einige Zahlen erhalten. Das Unternehmen sammelt über seine Expanse-Plattform kontinuierlich Informationen über alle über das Internet zugänglichen Geräte. Daher ließen sich auch Daten zum Gesamtvolumen der öffentlich zugänglichen Microsoft Exchange Server und die Untergruppe der anfälligen Server ermitteln. Durch den Vergleich von Informationen, die im Abstand von drei Tagen gesammelt wurden (am 8. März und dann noch einmal am 11. März), ist einerseits ersichtlich, wie viele Microsoft Exchange Server verwundbar waren. Andererseits ließen sich auch einige Daten über die Geschwindigkeit, mit der Unternehmen Patches aufgespielt haben, gewinnen.

Die Ergebnisse zeigen, dass die Patch-Raten blitzschnell sind – mit 36 Prozent in nur drei Tagen. Anhand von FireEye-Daten über die Zeitspanne zwischen Aufdeckung, Patch-Veröffentlichung und Ausnutzung ist bekannt, dass in der Vergangenheit die durchschnittliche Zeitspanne bis zum Patching neun Tage betrug. Ein Patch bedeutet aber nicht, dass Unternehmen sicher sind. Es ist davon auszugehen, dass diese Schwachstellen weiter ausgenutzt werden. Die aktuelle Analyse kann hier abgerufen werden.

Achtung bei alten MEOMT-Versionen

Hier im Blog habe ich ja einige Artikel veröffentlicht, die sich mit der Erkennung einer Kompromittierung befassen. Unter anderem hat Microsoft einige PowerShell-Scripte veröffentlicht, um Infektionen zu erkennen und zu eliminieren. In diesem Kommentar weist ein Blog-Leser darauf hin, dass das PowerShell-Script eomt.ps1 (Basis des Microsoft Exchange On-Premises Mitigation Tool) in älteren Versionen Probleme macht, wenn es auf einem gepatchten Exchange Server 2016 ausgeführt wird. Es kommt ggf. zu falschen Alarmen, weil das Script falsche Prämissen verwendet. Inzwischen hat Microsoft aber eine neue Fassung des Scripts veröffentlicht, die diese Probleme behoben hat. Allerdings sind die Microsoft Erkennungs-Scripte auch nicht unfehlbar, wie der nächste Abschnitt zeigt.

Neue IoCs für ProxyLogon gefunden

Die Sicherheitsexperten der HiSolutions AG haben mich über Facebook benachrichtigt und auf den Artikel HiSolutions entdeckt neue HAFNIUM/ProxyLogon IoCs hingewiesen. Den Experten sind bei forensischen Untersuchungen zum Thema HAFNIUM/ProxyLogon mehrere Fälle untergekommen, wo die Microsoft-Tools (Skripte bzw. Safety Scanner aka MSERT) nichts finden. Im HttpProxy-Log ist kein ProxyLogon zu sehen,  während der Zugriff im ECP Activity Log nachvollziehbar war. Die Sicherheitsexperten von HiSolution Reasearch haben dann neue Indicators of Compromise (IoCs) gefunden, die in obigem Artikel dokumentiert wurden.

Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren
Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben
Sicherheitsupdate für Exchange Server 2013 Service Pack 1 – Neue CUs für Exchange 2019 und 2016 (16.3.2021)

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.