Um was geht es?

Sicherheitslücken bei Microsoft Exchange-Servern werden im grossen Stil aktiv ausgenutzt. Schätzungen schwanken zwischen Zehntausenden und Hunderttausenden betroffenen Unternehmen. Im Fokus stehen aktuell vier schwerwiegende Schwachstellen:

CVE-2021-26855, eine server-side request forgery (SSRF) Schwachstelle welche Angreifern erlaubt, willkürliche HTTP-Requests zu senden um sich am Server zu authentisieren. Diese Schwachstelle ermöglicht die Ausnutzung der folgenden Schwachstellen.

CVE-2021-26857, eine insecure deserialization im Unified Messaging Service. Erlaubt beliebige Programmcode als SYSTEM auf dem Exchange-Server auszuführen. Erfordert Administrator-Rechte oder die Ausnutzung einer anderen Schwachstelle.

CVE-2021-26858 und CVE-2021-27065, Schwachstellen mit denen – nach Authentisierung – beliebige Dateien auf dem Server geschrieben werden können. Zugriff kann durch die Ausnutzung eine andere Schwachstelle wie CVE-2021-26855 erlangt werden.

Update am 12.03.2021: Aufgrund der hohen Anfrage wurde ein weiter Artikel veröffentlicht der Ihnen zeigt, welche Möglichkeiten Sie bei einem kompromittierten System haben: Exchange Server kompromittiert? Möglichkeiten bei Hafnium

Wer ist betroffen?

Man muss davon ausgehen, dass alle Unternehmen, die zwischen dem 26. Februar und 3. März einen über das Internet erreichbaren Exchange-Server mit der Outlook Web App (OWA) betrieben haben bereits kompromittiert sind. (Quelle: 2021, Ehemaliger Direktor der Cybersecurity and Infrastructure Security Agency Chris Krebs).

Die Verwundbarkeit über nicht-vertrauenswürdige Verbindungen auf Port 443 kann grundsätzlich durch jeden Exchange Web Dienst verursacht werden, d. h. nicht nur durch OWA, sondern auch bei der Nutzung von ActiveSync, Unified Messaging (UM), dem Exchange Control Panel (ECP) VDir, den Offline Address Book (OAB) VDir Services sowie weiterer Dienste. (2021, bsi.bund.de)

Durch die Schwachstellen kann eine nicht-vertrauenswürdige Verbindung auf Port 443 zu dem Exchange-Server etabliert werden. Daher sind Server geschützt, welche nicht-vertrauenswürdige Verbindungen beschränken und nur per VPN erreichbar sind. Ist eine Cyberkriminelle Person jedoch im Besitz des Zugriffes oder hat Administratorzugriff, so können schadhafte Dateien ausgeführt werden.

Nicht betroffen ist Exchange Online. Nutzen Sie Office 365 als Maillösung, sind Sie also nicht betroffen.

Was muss nun getan werden? 

Wir empfehlen dringend das Einspielen der von Microsoft bereitgestellten Sicherheitsupdates. Diese stehen nur für Server mit aktuellen kumulativen Updates (CU) zur Verfügung.

  • Exchange Server 2010 (RU 31 für Service Pack 3, hierüber werden künftige Angriffe verhindert)
  • Exchange Server 2013 (CU 23)
  • Exchange Server 2016 (CU 19, CU 18)
  • Exchange Server 2019 (CU 8, CU 7)

Zudem sollten folgende Massnahmen umgesetzt werden (2021, BSI-Cyber-Sicherheitswarnung): 

  • Ist eine Aktualisierung nicht möglich, muss ein nicht ausschliesslich mittels VPN aus dem Internet erreichbarer Web Access Zugang sofort deaktiviert werden. Die Notwendigkeit der Erreichbarkeit von internen Diensten aus dem Internet, wie hier durch Exchange bereitgestellt, sollte unter Berücksichtigung des BSI IT-Grundschutzes (insbesondere NET.1.1 Netzarchitektur und -design – A11, NET.3.3 VPN) kritisch geprüft werden [BSI2021]. Da Exchange-Server immer wieder von kritischen Schwachstellen betroffen sind, die häufig – wie auch in diesem Fall – direkt über einen Fernzugriff aus dem Internet ausgenutzt werden können, besteht hierin eine besondere Wichtigkeit
  • Bei allen Systemen, die nicht sofort in der Nacht zu Mittwoch aktualisiert wurden, ist zu prüfen, ob es zu einer Kompromittierung gekommen ist (Unterstützung anfordern).  Hierzu müssen Exchange-Systeme auf bekannte Webshells untersucht werden. 1. Von Microsoft wurde ein unter [MIC2021d] abrufbares Detektionsskript veröffentlicht, das die Überprüfung des Exchange-Servers auf eine mögliche Ausnutzung der Schwachstellen ermöglicht. CSW # 2021-197772-14F2 | Version 1.4 vom 06.03.2021 Seite 3 von 7 BSI-Cyber-Sicherheitswarnung TLP:WHITE 2. Zur Orientierung bietet [CIS2021b] einen ausführlichen Leitfaden bzgl. des Vorgehens bei der Überprüfung von Exchange-Systemen.
  • Um die Möglichkeit der Angriffsdetektion zu verbessern, sollte die Protokollierung der Exchange-Server und des Active Directory ausgeweitet werden. Hierzu sollte für die lokalen Logs der Speicherplatz erhöht werden und auf dem Domain Controller insbesondere die folgenden Ereignisse überwacht werden: 1. Logging von Anmeldungen mit dem Computerkonto des Exchange IIS Servers (Event-ID 4624, LogonType=3, Authentication Package=NTLM, Account Name=) 2. Detektion mit Hinblick auf privilegierte Berechtigungen im Active Directory, z. B. durch Logging von Änderungen in hochprivilegierten Gruppen und bei Benutzern (z. B. Veränderung der DACL, Event-ID 5136)
  • Im Falle der Detektion einer Webshell muss das System und entsprechend der Berechtigungen ggf. weitere Systeme wie das Active Directory näher untersucht werden
  • Unternehmen und Organisationen, welcher ausser Stande sind, die jeweilige Microsoft-Exchange-Umgebung unmittelbar zu aktualisieren, sollten die nachfolgenden Maßnahmen umsetzen:

1. Die Dienste Unified Messaging (UM), Exchange Control Panel (ECP)VDir, und OfflineAddress Book (OAB) VDir Services müssen deaktiviert werden. Das Erstellen der Regeln zur Deaktivierung der Dienste ist im Detail in [MIC2021e] beschrieben.

2. Im Anschluss muss OWA, ActiveSync, etc. deaktiviert werden. 

3. Dies sollte eine Ausnutzung der Schwachstelle verhindern, bis die notwendigen CU’s und das Update aus [MIC2021c] installiert werden können.

4. Bevor die Dienste wieder mit dem Internet verbunden werden, sollten die Exchange-Server überprüft werden. Hierzu können die Skripte [Exch2021a] und [Mic2021f] benutzt werden.

Zur Überprüfung der Schwachstelle [MIC2021g] stellt Microsoft eine aktualisierte spezifische NMAP-Regel [MIC2021d] zur Verfügung. Nach Berichten kann es bei der Nutzung des Skripts mit NMAP in Einzelfällen zu Fehlermeldungen kommen. Zur Behebung sollte beim Aufruf von NMAP der folgende Parameter ergänzt werden: «–min-rtt-timeout 3″ (2021, BSI-Cyber-Sicherheitswarnung)

Prüfen Sie, ob es zu einer Kompromittierung kam:

Auf Microsofts GitHub-Repository CSS-Exchange (betrieben von den Support Engineers for Microsoft Exchange Server) steht ein PowerShell-Skript bereit, das einen oder mehrere Exchange-Server auf Merkmale untersucht, die ein erfolgreicher Angriff hinterlässt.

Das PS-Skript Test-ProxyLogon.ps1 bei GitHub sucht nach Angriffsmerkmalen, die für ProxyLogon typisch sind. Microsoft hatte die Details dazu bereits in einem Blogpost veröffentlicht, dieses Skript fasst manuelle Tests zusammen und macht es Administratoren erheblich einfacher, Exchange-Server zu überprüfen. Das Skript durchsucht Exchange-Logs, Exchange-HttpProxy-Logs und Windows-Application-Event-Logs.

Auf einem lokalen Exchange-Server (auf der Exchange Management Shell) gibt das Skript seine Ergebnisse direkt aus:

.\Test-ProxyLogon.ps1

Die Ausgabe lässt sich speichern (Beispiel):

.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs

Wer mehrere Exchange-Server betreibt, kann alle Systeme zugleich untersuchen (und das Ergebnis speichern, Beispiel):

Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs
  • Eine mögliche Shell wurde z. B. unter %PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\ als RedirSuiteServerProxy.aspx abgelegt. Generell sind alle kürzlich erzeugten .aspx-Dateien verdächtig. Allerdings könnte eine Webshell auch in bestehende Dateien hinzugefügt werden, indem eine einzige Zeile eingefügt wird. Hinweis: Die RedirSuiteServiceProxy.aspx ist grundsätzlich legitim.
  • Falls eine Webshell gefunden wird, sollte die Organisation in den Incident Response Modus übergehen. Um nachzuvollziehen, welche Befehle über die Webshell abgesetzt wurden, sollte zeitnah ein Arbeitsspeicher-Image erstellt werden. Dazu sollte das ganze System forensisch gesichert werden, um prüfen zu können, ob von diesem System ein Lateral Movement ins eigene Netzwerk erfolgte. Es sind die begleitenden Massnahmen dieser Eskalation zu berücksichtigen.

Achtung: Die Patches machen den Schaden nicht rückgängig

Die vier erwähnten Sicherheitslücken werden durch die Sicherheitsupdates behoben. Bereits kompromittierte Systeme werden dadurch aber nicht unschädlich. Wenn Sie mit der Bewältigung der Situation (schnelles Patchen, forensische Untersuchungen, etc.) überfordert sind, sollten Sie wegen der möglichen schwerwiegenden Konsequenzen für Ihre Organisation einen Cyber-Spezialisten hinzuziehen. Wir von Selution stehen Ihnen jeder Zeit auf unserer Cyber Incident Hotline +41 58 531 00 11 zur Verfügung. Oder Nehmen Sie Kontakt mit uns per Formular auf: