HAFNIUM

Palo Alto Networks: Schritte zur Behebung der MS Exchange Server-Schwachstellen

11.03.2021, München, Palo Alto Networks | Autor: Herbert Wieler

Neue Daten und Informationen zu Microsoft Exchange Server-Angriffen

Schätzungen zufolge gibt es immer noch mehr als 125.000 ungepatchte Exchange Server, die für neue Angriffe anfällig sein könnten Palo Alto Networks warnt davor, dass sogar bereits gepatchte Systeme kompromittiert worden sein könnten, da diese Schwachstellen mindestens zwei Monate lang aktiv ausgenutzt wurden, bevor die Sicherheits-Patches verfügbar waren.

Palo Alto Networks empfiehlt vier Schritte, die Unternehmen umsetzen sollten, um die Schwachstellen zu beheben und ihre Auswirkungen zu bewerten.

Die Top fünf Länder mit den meisten bestätigten verwundbaren Exchange-Servern:

• USA: 33.000
• Deutschland: 21.000
• Großbritannien: 7.900
• Frankreich: 5.100
• Italien: 4.600

Wie Palo Alto Networks in seinem Unit 42 Blog berichtet, wurde die Sicherheitscommunity am 2. März auf vier kritische Zero-Day-Schwachstellen in Microsoft Exchange Server aufmerksam (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065). Diese Schwachstellen ermöglichen es Angreifern, auf Exchange Server zuzugreifen und potenziell langfristigen Zugriff auf die Umgebungen der Opfer zu erlangen.

Das Microsoft Threat Intelligence Center (MSTIC) schreibt die anfängliche Kampagne mit hoher Wahrscheinlichkeit HAFNIUM zu, einer Gruppe, die nach Einschätzung von MISTIC staatlich gesponsert wird und von China aus operiert. Mehrere Threat-Intelligence-Teams, einschließlich MSTIC und Unit 42 von Palo Alto Networks, beobachteten bereits mehrere Bedrohungsakteure, die diese Zero-Day-Schwachstellen jetzt in freier Wildbahn ausnutzen.

Die geschätzte Zahl der potenziell gefährdeten Organisationen geht weltweit in die Zehntausende. Sehr wichtig ist, dass diese Schwachstellen mindestens zwei Monate lang aktiv ausgenutzt wurden, bevor die Sicherheits-Patches verfügbar waren. Das bedeutet, dass Exchange Server auch dann noch gefährdet sein könnten, wenn die Patches sofort installiert werden. Basierend auf Telemetriedaten der Palo Alto Networks Expanse-Plattform, gibt es weltweit schätzungsweise noch über 125.000 ungepatchte Exchange Server.

Palo Alto Networks empfiehlt Unternehmen, das folgende Playbook zu befolgen, um auf diese potenzielle Bedrohung in ihren Umgebungen zu reagieren.

1) Alle Exchange Server lokalisieren und bestimmen, ob sie gepatcht werden müssen. Exchange Online ist nicht betroffen. Zu den anfälligen Exchange Server-Versionen gehören 2013, 2016 und 2019. Während Exchange 2010 nicht für die gleiche Angriffskette anfällig ist wie Exchange 2013/2016/2019, hat Microsoft für diese Version einen Patch für CVE-2021-26857 veröffentlicht. Microsoft hat kürzlich zusätzliche Hinweise für ältere, nicht unterstützte Versionen von Exchange veröffentlicht.

Microsoft hat Informationen zu den Updates für die folgenden spezifischen Versionen von Exchange Server veröffentlicht:

• Exchange Server 2019 – Update erfordert Cumulative Update (CU) 8 oder CU 7
• Exchange Server 2016 – Update erfordert CU 19 oder CU 18.
• Exchange Server 2013 – Update erfordert CU 23
• Exchange Server 2010 – Update erfordert SP 3 oder eine beliebige SP 3 RU, dies ist ein Defense in Depth-Update

Patchen und Sichern aller Exchange Server.

Unternehmen sollten die Out-of-Band-Sicherheitsupdates für ihre Version von Exchange Server installieren. Wenn sie einen Exchange Server nicht sofort aktualisieren und/oder patchen können, gibt es einige Abschwächungen und Umgehungen, die die Chancen eines Angreifers, einen Exchange Server auszunutzen, verringern können; diese Abschwächungen sollten nur vorübergehend sein, bis das Patchen abgeschlossen werden kann. Palo Alto Networks Next-Generation Firewalls (NGFWs), die auf Threat Prevention Content Pack 8380 oder höher aktualisiert wurden, schützen vor diesen Schwachstellen, wenn die SSL-Entschlüsselung für den eingehenden Verkehr zum Exchange Server aktiviert ist. Cortex XDR, das auf dem Exchange Server ausgeführt wird, erkennt und verhindert Webshell-Aktivitäten, die häufig bei diesen Angriffen verwendet werden.

Feststellen, ob ein Exchange Server bereits kompromittiert wurde.

Diese Schwachstellen sind bereits seit über einem Monat bekannt und werden aktiv ausgenutzt, wobei die ersten Hinweise auf eine Ausnutzung auf den 3. Januar zurückgehen. Jedes Unternehmen, das die anfällige Software einsetzt, muss prüfen, ob sein Server gefährdet ist. Das Patchen des Systems wird keine Malware entfernen, die bereits auf dem System installiert ist. Bis zum Beweis des Gegenteils sollte man davon ausgehen, dass Exchange Server, die Outlook Web Access oder Exchange Web Services dem Internet ausgesetzt haben, kompromittiert sind.

Einschalten eines Incident-Response-Teams bei Verdacht einer Kompromittierung.

Wenn Unternehmen zu irgendeinem Zeitpunkt glauben, dass ihr Exchange Server kompromittiert wurde, sollten sie dennoch Maßnahmen ergreifen, um ihn gegen die oben beschriebenen Schwachstellen zu schützen. Dies wird verhindern, dass weitere Angreifer das System kompromittieren. Die Installation der Out-of-Band-Sicherheitsupdates für die jeweilige Version von Exchange Server ist sehr wichtig, aber dadurch wird keine bereits auf den Systemen installierte Malware entfernt und keine im Netzwerk vorhandenen Bedrohungsakteure werden vertrieben.