Neue Bedrohungen - Massenausnutzung von Sicherheitslücken in Exchange Server (2010-2019)

Am 2. März 2021 veröffentlichte Microsoft ein Notfallupdate , um vier kritische Sicherheitslücken in Exchange Server 2010, 2013, 2016 und 2019 zu beheben.



Unser Incident and Forensics-Team ist aktiv an der Untersuchung von Vorfällen beteiligt, die sich aus diesen neuen Bedrohungen ergeben. Wir haben festgestellt, dass diese Sicherheitsanfälligkeiten in böswilliger Absicht verwendet werden, um Remotezugriff auf Exchange-Server zu erhalten und dann vertrauliche Daten, einschließlich ganzer Postfächer, zu entladen.



Beachten Sie bitte, dass Angreifer höchstwahrscheinlich den Remotezugriff auf Exchange verwenden, um dann zu noch kritischeren Systemen wie Domänencontrollern zu wechseln.



Microsoft hat eine angeblich staatlich geförderte chinesische Gruppe, HAFNIUM, gemeldet, die diese Sicherheitslücken ausnutzt. Laut Microsoft ist Exchange Online nicht von denselben Sicherheitsanfälligkeiten betroffen.

Beschreibung der Schwachstellen

Insgesamt werden während des Angriffs vier CVEs ausgenutzt:

• CVE-2021-26855 ist eine SSRF-Sicherheitsanfälligkeit (Exchange Server-Side Request Forgery), mit der Angreifer beliebige HTTP-Anforderungen senden und sich im Namen eines bestimmten Exchange-Servers authentifizieren können
• CVE-2021-26857 - wird zum Eskalieren von Berechtigungen verwendet - Eskalieren von Berechtigungen, um die Berechtigungen des Systemkontos auf dem Server abzurufen: SYSTEM
• CVE-2021-26858 und CVE-2021-27065 werden verwendet, um Dateien in einen beliebigen (beliebigen) Ordner auf dem Server zu schreiben.

Angreiferteams binden Exploits dieser Sicherheitslücken zusammen, um effektive Angriffe auszuführen. Sie können die Analyse dieser Vorgänge zusätzlich in Veloxity anzeigen .

Wie erfolgt der Angriff?

1. Angreifer finden anfällige Exchange-Server mit offenem HTTP-Port 443
2. Nutzt eine SSRF-Sicherheitsanfälligkeit aus (die erste der oben beschriebenen), um den erforderlichen Zugriff und die erforderliche Authentifizierung für diesen Exchange-Server zu erhalten
3. (SYSTEM), , , (, ProcDump)
4. Exchange / ,
5. , , «»
6. WebShell, .

• , Exchange, , . , Microsoft : Cumulative Update Security Update.
• Microsoft PowerShell , , ASPX(.aspx)
• (Kevin Beaumont) « » nmap
• - Varonis DatAlert :
  
  
  
  
  • , Exchange;
  • Web, , , DNS ( SWG [web-proxy] DNS Edge);
  • , «» Exchange;
  • , , ( , – Data Classification Engine).

PS Wenn Sie Hilfe benötigen, wenden Sie sich bitte an das russische Varonis-Team oder direkt an die Incident Investigation-Abteilung über eine spezielle Seite auf unserer Website. Wir werden unser Bestes geben und können sicherstellen, dass Sie sicher sind, auch wenn Ihr Unternehmen dies nicht ist ein Kunde von Varonis.