Angriffswelle, fast 2.000 Exchange-Server über ProxyShell gehackt

Sicherheit (Pexels, allgemeine Nutzung)[English]Ich habe lange darauf gewartet, aber jetzt ist das Befürchtete eingetreten. Seit Freitag läuft eine massive Angriffswelle auf ungepatchte Microsoft Exchange-Server über die ProxyShell-Schwachstelle. Huntres hat bereits über 1.900 gehackte Exchange-Server entdeckt, aber denen eine Shell installiert wurde. Inzwischen warnt CERT-Bund ebenfalls. Hier einige Informationen zum Sachstand.


Anzeige

CERT-Bund warnt vor Angriffswelle

Ich bin auf Twitter über verschiedene Quellen auf eine seit Freitag laufende Angriffswelle auf ungepatchte Microsoft Exchange-Server aufmerksam geworden. CERT-Bund hat inzwischen nachfolgende Warnung herausgegeben.

Angriffswelle auf Exchange-Server über ProxyShell

Die HuntressLabs des betreffenden Sicherheitsanbieters haben binnen 48 Stunden mehr als 140 Webshells auf mehr als 1900 ungepatchten Rechnern mit Microsoft Exchange entdeckt. Diese 140+ Webshells wurden auf Server 2013/2016/2019 Versionen von On-Prem Exchange gefunden. Es ist zu beachten, dass die meisten Webshells zufällig benannt sind, einige jedoch wiederkehrende Muster aufweisen. Die Exchange Server wurden mittels der ProxyShell infiziert.  Huntress hat zum 21. August 2021 den Blog-Beitrag Microsoft Exchange Server still vulnerable to ProxyShell Exploit veröffentlicht, der kontinuierlich ergänzt wird.

Exchange attack via Proxy Shell


Anzeige

Sicherheitsforscher Kevin Beaumont hat auf DoublePulsar diesen Artikel zum Thema veröffentlicht (siehe auch obiger Tweet). Weitere Artikel finden sich bei The Record, und Bleeping Computer berichtet hier, dass die FileLocker Ransomware-Gang die Exchange-Server per ProxyShell-Exploit angreift. Zu den betroffenen Unternehmen gehören Bauunternehmen, Fischverarbeitungsbetriebe, Industriemaschinen, Autowerkstätten, ein kleiner Flughafen und mehr. Das Wochenende wird lustig werden.

Die ProxyShell-Schwachstelle

Der taiwanesische Sicherheitsforscher Orange Tsai vom DEVCORE-Team hat Anfang Augst auf der BlackHat 2021 einen Vortrag über Exchange-Schwachstellen gehalten. Dabei zeigte er, wie durch Kombination alter Schwachstellen (z.B. CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207), die im April 2021 durch Updates geschlossen wurden, Microsoft Exchange-Server über ProxyLogon, ProxyOracle und ProxyShell genannte Exploits angegriffen und übernommen werden können.

Ich hatte im Blog-Beitrag Exchange-Schwachstellen: Droht Hafnium II? über diesen Sachverhalt berichtet. Die Empfehlung lautete, die On-Premises Exchange-Server auf den aktuellen Patchstand zu bringen und dafür zu sorgen, dass diese nicht per Internet erreichbar sind (siehe auch Exchange Server: Neues zu den ProxyShell-Schwachstellen). Bereits im Blog-Beitrag Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021) hatte ich dann auf beginnende Angriffe hingewiesen.

Ergänzung: I verlinkten Artikel gibt es einen kurzen Hinweis, in welchen Ordnern Hinweise zu Infektionen zu finden sind. In diesem Tweet gibt es Hinweise auf eine neue Shell, die auf infizierten Systemen gefunden wurde.

Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren
Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben
Sicherheitsupdate für Exchange Server 2013 Service Pack 1 – Neue CUs für Exchange 2019 und 2016 (16.3.2021)
Microsoft Defender schließt automatisch CVE-2021-26855 auf Exchange Server
Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)
Neues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
Sicherheitsupdates für Exchange Server (Juli 2021)
Kumulative Exchange Updates Juni 2021 veröffentlicht
Exchange Server Security Update KB5001779 (13. April 2021)
Exchange-Schwachstellen: Droht Hafnium II?
Exchange Server: Neues zu den ProxyShell-Schwachstellen
Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Angriffswelle, fast 2.000 Exchange-Server über ProxyShell gehackt

  1. janil sagt:

    Was für eine Aufregung ist doch nur Exchange aber die Azure-Aktie ist auf 300 Dollar gestiegen, der Rest sind doch nur Peanuts die Cloud zählt…(Ironie).
    Es kommt wirklich nicht überraschend.
    Hab mir nach einem Hinweis mal ZorinOS angesehen, was in der Core-Version schon für Windows Umsteiger interessant werden könnte, aufgeräumt und intuitiv(meine Meinung). Ist auf jeden Fall mal einen Blick wert.

  2. 1ST1 sagt:

    Firmen, deren Exchange-Server jetzt noch über diese seit April gepatchten Lücken gehackt wurden, haben es wirklich nicht besser verdient. Das klingt zwar hart, aber mein Mitleid hält sich halt doch stark in Grenzen.

  3. Thomas sagt:

    Exchange über das Internet nicht mehr erreichbar schalten? Welchen Sinn macht dann ein Exchange Server? Er muß im Netz sein um die eMails einzusammeln die dann über die feste IP eintrudeln. Kappe ich die feste IP dann macht ein Exchange doch keinen Sinn mehr?

    • Singlethreaded sagt:

      Bei uns steht der Exchange im Backend und ist nicht direkt aus dem Internet erreichbar. Die Annahme und den Versand der Mails übernimmt ein Mailgateway welches auch Aufgaben wie z.B. Spambewertung, Virenprüfung, Greylisting, IDS/IPS und Quarantäne bestimmter Dateitypen übernimmt. Wenn eine E-Mail in Ordnung ist, wird diese an den Exchange Server weitergeleitet.

      • Dominik sagt:

        Das bringt nur genau gar nichts bei den o.g. Schwachstellen. Bin gespannt, wann das auch der Letzte kapiert.

      • Stefan sagt:

        Das bringt halt nur bei der reinen Mailannahme/Weitergabe. Smarthosts gabs schon vor Jahrzehnten. Hier geht es um den Clientzugriff über ActiveSync bzw. dessen Autodiscover.

        Für PCs kann man das ja noch hinter VPNs verstecken, für Mobilgeräte sehe ich hier aber meist schwarz. Geo-IP bringt natürlich was und eben patchen.

        • b2b sagt:

          @Stefan
          Für ActiveSync, Autodiscover, OWA, ECP und Outlook Anywhere hat Microsoft AD FS + WAP erfunden. Wenn man damit verbunden Rich Client Authentifizierung bzw. 2FA einsetzt, passiert erst mal nichts.

          • Stefan sagt:

            Hmm, das geht dann ja aber trotzdem über den IIS nur halt mit PreAuth und nem Token, oder? Das wäre jetzt zwar sicherer als ohne aber IIS bleibts halt trotzdem. Ich werds mir mal genauer ansehen, danke.

          • SvenS sagt:

            Ich hab das mit einer OPNsense+HAProxy in der Cloud so gelöst – läuft auch! Zumal man mit dieser auch GeoIP-Sperrungen sowie IDS/IPS für diesen Traffic gleich mit erledigen kann. ;-)

          • b2b sagt:

            @Stefan
            AD FS und WAP nutzt kein IIS. Damit bleibt natürlich der IIS für den Exchange Server. Welcher aber ausschließlich als Backend fungiert nach dem die Authentifizierung erfolgreich war. Damit hat ein vermeidlicher Angreifer von außen keinen direkten Zugriff auf dem IIS.

          • b2b sagt:

            @SvenS
            Wenn der HAProxy klassisch als Reverse Proy eingesetz wird, löst dies auf keinerweise das Problem. Denn die Verbindungen von außen werden 1:1 an den Exchange Server (IIS) weitergereicht. Damit bleibt meiner Meinung das Risiko, welches durch die entdeckten Sicherheitslücken entstehend, in deinem Setup bestehen.

          • SvenS sagt:

            @b2b
            Da hast Du natürlich Recht, aber ich habe den direkten Fokus auf den Exchange genommen (weil völlig andere Sub-Sub-Domain als Einwahl-Server).
            Ich kann auch den (Versuch) Zugriff auf ECP etc. gleich abdrehen und OWA zumindest mit einer PreAuth absichern, GeoIP spielt hier auch noch eine Rolle.
            Wer will, kann auch gleich noch mit Client-Zertifikaten beim Zugriff spielen. – Das ist immernoch besser, als Exchange direkt am Netz! Wie wir alle wissen – 100%ige Sicherheit werden wir nie hinbekommen, aber wir können es etwas schwerer für die "Bösen" machen! ;-)

  4. Manuel sagt:

    Welche Security Patches sind jetzt wirklich wichtig bei Exchange 2016 CU20?
    zB: KB5001779 wird durch KB5004779 ersetzt.
    Gibt es für das irgendwelche Powershell scripts?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.