[English]Ich habe lange darauf gewartet, aber jetzt ist das Befürchtete eingetreten. Seit Freitag läuft eine massive Angriffswelle auf ungepatchte Microsoft Exchange-Server über die ProxyShell-Schwachstelle. Huntres hat bereits über 1.900 gehackte Exchange-Server entdeckt, aber denen eine Shell installiert wurde. Inzwischen warnt CERT-Bund ebenfalls. Hier einige Informationen zum Sachstand.
Anzeige
CERT-Bund warnt vor Angriffswelle
Ich bin auf Twitter über verschiedene Quellen auf eine seit Freitag laufende Angriffswelle auf ungepatchte Microsoft Exchange-Server aufmerksam geworden. CERT-Bund hat inzwischen nachfolgende Warnung herausgegeben.
Die HuntressLabs des betreffenden Sicherheitsanbieters haben binnen 48 Stunden mehr als 140 Webshells auf mehr als 1900 ungepatchten Rechnern mit Microsoft Exchange entdeckt. Diese 140+ Webshells wurden auf Server 2013/2016/2019 Versionen von On-Prem Exchange gefunden. Es ist zu beachten, dass die meisten Webshells zufällig benannt sind, einige jedoch wiederkehrende Muster aufweisen. Die Exchange Server wurden mittels der ProxyShell infiziert. Huntress hat zum 21. August 2021 den Blog-Beitrag Microsoft Exchange Server still vulnerable to ProxyShell Exploit veröffentlicht, der kontinuierlich ergänzt wird.
Anzeige
Sicherheitsforscher Kevin Beaumont hat auf DoublePulsar diesen Artikel zum Thema veröffentlicht (siehe auch obiger Tweet). Weitere Artikel finden sich bei The Record, und Bleeping Computer berichtet hier, dass die FileLocker Ransomware-Gang die Exchange-Server per ProxyShell-Exploit angreift. Zu den betroffenen Unternehmen gehören Bauunternehmen, Fischverarbeitungsbetriebe, Industriemaschinen, Autowerkstätten, ein kleiner Flughafen und mehr. Das Wochenende wird lustig werden.
Die ProxyShell-Schwachstelle
Der taiwanesische Sicherheitsforscher Orange Tsai vom DEVCORE-Team hat Anfang Augst auf der BlackHat 2021 einen Vortrag über Exchange-Schwachstellen gehalten. Dabei zeigte er, wie durch Kombination alter Schwachstellen (z.B. CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207), die im April 2021 durch Updates geschlossen wurden, Microsoft Exchange-Server über ProxyLogon, ProxyOracle und ProxyShell genannte Exploits angegriffen und übernommen werden können.
Ich hatte im Blog-Beitrag Exchange-Schwachstellen: Droht Hafnium II? über diesen Sachverhalt berichtet. Die Empfehlung lautete, die On-Premises Exchange-Server auf den aktuellen Patchstand zu bringen und dafür zu sorgen, dass diese nicht per Internet erreichbar sind (siehe auch Exchange Server: Neues zu den ProxyShell-Schwachstellen). Bereits im Blog-Beitrag Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021) hatte ich dann auf beginnende Angriffe hingewiesen.
Ergänzung: I verlinkten Artikel gibt es einen kurzen Hinweis, in welchen Ordnern Hinweise zu Infektionen zu finden sind. In diesem Tweet gibt es Hinweise auf eine neue Shell, die auf infizierten Systemen gefunden wurde.
Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren
Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben
Sicherheitsupdate für Exchange Server 2013 Service Pack 1 – Neue CUs für Exchange 2019 und 2016 (16.3.2021)
Microsoft Defender schließt automatisch CVE-2021-26855 auf Exchange Server
Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)
Neues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
Sicherheitsupdates für Exchange Server (Juli 2021)
Kumulative Exchange Updates Juni 2021 veröffentlicht
Exchange Server Security Update KB5001779 (13. April 2021)
Exchange-Schwachstellen: Droht Hafnium II?
Exchange Server: Neues zu den ProxyShell-Schwachstellen
Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)
Anzeige
Was für eine Aufregung ist doch nur Exchange aber die Azure-Aktie ist auf 300 Dollar gestiegen, der Rest sind doch nur Peanuts die Cloud zählt…(Ironie).
Es kommt wirklich nicht überraschend.
Hab mir nach einem Hinweis mal ZorinOS angesehen, was in der Core-Version schon für Windows Umsteiger interessant werden könnte, aufgeräumt und intuitiv(meine Meinung). Ist auf jeden Fall mal einen Blick wert.
Der Gedankensprung von Exchange zu ZorinOS ist schwer nachvollziehbar…
Firmen, deren Exchange-Server jetzt noch über diese seit April gepatchten Lücken gehackt wurden, haben es wirklich nicht besser verdient. Das klingt zwar hart, aber mein Mitleid hält sich halt doch stark in Grenzen.
Exchange über das Internet nicht mehr erreichbar schalten? Welchen Sinn macht dann ein Exchange Server? Er muß im Netz sein um die eMails einzusammeln die dann über die feste IP eintrudeln. Kappe ich die feste IP dann macht ein Exchange doch keinen Sinn mehr?
Bei uns steht der Exchange im Backend und ist nicht direkt aus dem Internet erreichbar. Die Annahme und den Versand der Mails übernimmt ein Mailgateway welches auch Aufgaben wie z.B. Spambewertung, Virenprüfung, Greylisting, IDS/IPS und Quarantäne bestimmter Dateitypen übernimmt. Wenn eine E-Mail in Ordnung ist, wird diese an den Exchange Server weitergeleitet.
Das bringt nur genau gar nichts bei den o.g. Schwachstellen. Bin gespannt, wann das auch der Letzte kapiert.
Das bringt halt nur bei der reinen Mailannahme/Weitergabe. Smarthosts gabs schon vor Jahrzehnten. Hier geht es um den Clientzugriff über ActiveSync bzw. dessen Autodiscover.
Für PCs kann man das ja noch hinter VPNs verstecken, für Mobilgeräte sehe ich hier aber meist schwarz. Geo-IP bringt natürlich was und eben patchen.
@Stefan
Für ActiveSync, Autodiscover, OWA, ECP und Outlook Anywhere hat Microsoft AD FS + WAP erfunden. Wenn man damit verbunden Rich Client Authentifizierung bzw. 2FA einsetzt, passiert erst mal nichts.
Hmm, das geht dann ja aber trotzdem über den IIS nur halt mit PreAuth und nem Token, oder? Das wäre jetzt zwar sicherer als ohne aber IIS bleibts halt trotzdem. Ich werds mir mal genauer ansehen, danke.
Ich hab das mit einer OPNsense+HAProxy in der Cloud so gelöst – läuft auch! Zumal man mit dieser auch GeoIP-Sperrungen sowie IDS/IPS für diesen Traffic gleich mit erledigen kann. ;-)
@Stefan
AD FS und WAP nutzt kein IIS. Damit bleibt natürlich der IIS für den Exchange Server. Welcher aber ausschließlich als Backend fungiert nach dem die Authentifizierung erfolgreich war. Damit hat ein vermeidlicher Angreifer von außen keinen direkten Zugriff auf dem IIS.
@SvenS
Wenn der HAProxy klassisch als Reverse Proy eingesetz wird, löst dies auf keinerweise das Problem. Denn die Verbindungen von außen werden 1:1 an den Exchange Server (IIS) weitergereicht. Damit bleibt meiner Meinung das Risiko, welches durch die entdeckten Sicherheitslücken entstehend, in deinem Setup bestehen.
@b2b
Da hast Du natürlich Recht, aber ich habe den direkten Fokus auf den Exchange genommen (weil völlig andere Sub-Sub-Domain als Einwahl-Server).
Ich kann auch den (Versuch) Zugriff auf ECP etc. gleich abdrehen und OWA zumindest mit einer PreAuth absichern, GeoIP spielt hier auch noch eine Rolle.
Wer will, kann auch gleich noch mit Client-Zertifikaten beim Zugriff spielen. – Das ist immernoch besser, als Exchange direkt am Netz! Wie wir alle wissen – 100%ige Sicherheit werden wir nie hinbekommen, aber wir können es etwas schwerer für die "Bösen" machen! ;-)
Welche Security Patches sind jetzt wirklich wichtig bei Exchange 2016 CU20?
zB: KB5001779 wird durch KB5004779 ersetzt.
Gibt es für das irgendwelche Powershell scripts?
Oh mann ich komm aus dem Urlaub und erstmal 100 Stück patchen…
Exchange 2016 CU20 + KB5004779 = v15.1.2242.12