Was Security Teams in Unternehmenn jetzt tun sollten

Am 2. März 2021 veröffentlichte das Microsoft Threat Intelligence Center (MSTIC) Details zu einer aktiven staatlich gesponserten Bedrohungskampagne , bei der vier Zero-Day-Schwachstellen in lokalen Instanzen von Microsoft Exchange Server ausgenutzt wurden. MSTIC schreibt diese Kampagne HAFNIUM zu, einer Gruppe, die als staatlich gefördert gilt und von China aus operiert.

Rapid7-Erkennungs- und Reaktionsteams haben seit dem 27. Februar 2021 auch eine erhöhte Bedrohungsaktivität gegen Microsoft Exchange Server beobachtet und können die fortlaufende Massenausnutzung anfälliger Exchange-Instanzen bestätigen . Microsoft Exchange-Kunden sollten die neuesten Updates aufspielen und sofort Maßnahmen ergreifen, um ihre Exchange-Instanzen zu sichern. Rapid7 empfiehlt den Unternehmen dringend, verdächtige Aktivitäten und Kompromissindikatoren (IOCs), die sich aus dieser Kampagne ergeben, genau zu überwachen. Rapid7 bietet hier eine umfassende Liste von IOCs an.

Die aktiv ausgenutzten Zero-Day-Schwachstellen, die in der MSTIC-Ankündigung im Rahmen der von HAFNIUM zugeschriebenen Bedrohungskampagne offengelegt wurden, sind:

• CVE-2021-26855 ist eine SSRF-Sicherheitsanfälligkeit (Server-Side Request Forgery) in Exchange, mit der ein Angreifer beliebige HTTP-Anforderungen senden und sich als Exchange-Server authentifizieren kann.
• CVE-2021-26857 ist eine unsichere Deserialisierungsanfälligkeit im Unified Messaging-Dienst. Bei der unsicheren Deserialisierung werden nicht vertrauenswürdige, vom Benutzer steuerbare Daten von einem Programm deserialisiert. Durch das Ausnutzen dieser Sicherheitsanfälligkeit kann ein Angreifer Code als SYSTEM auf dem Exchange-Server ausführen.
• CVE-2021-26858 ist eine Schwachstelle beim Schreiben von Dateien nach der Authentifizierung in Exchange. Wenn sich ein Angreifer beim Exchange-Server authentifizieren kann, kann er diese Sicherheitsanfälligkeit verwenden, um eine Datei in einen beliebigen Pfad auf dem Server zu schreiben. Angreifer können sich authentifizieren, indem sie die SSRF-Sicherheitsanfälligkeit CVE-2021-26855 ausnutzen oder die Anmeldeinformationen eines legitimen Administrators gefährden.

Das Out-of-Band-Update enthielt außerdem drei zusätzliche Sicherheitslücken bei der Ausführung von Remotecode in Microsoft Exchange. Es ist nicht bekannt, dass diese zusätzlichen Sicherheitslücken Teil der von HAFNIUM zugeschriebenen Bedrohungskampagne sind, sie sollten jedoch mit der gleichen Dringlichkeit behoben werden:

• CVE-2021-26412 (CVSS: 3.0 9.1 / 8.2)
• CVE-2021-26854 (CVSS: 3,0 6,6 / 5,8)
• CVE-2021-27078 (CVSS: 3.0 9.1 / 8.2)

Microsoft hat ab dem 2. März 2021 Out-of-Band-Patches für alle sieben Schwachstellen veröffentlicht. Sicherheitsupdates sind für die folgenden spezifischen Versionen von Exchange verfügbar:

• Exchange Server 2010 (für Service Pack 3 – dies ist ein Update zur Tiefenverteidigung)
• Exchange Server 2013 (CU 23)
• Exchange Server 2016 (CU 19, CU 18)
• Exchange Server 2019 (CU 8, CU 7) Exchange Online ist nicht betroffen.

Für Rapid7-Kunden

InsightVM- und Nexpose-Kunden können ihre Gefährdung durch diese Sicherheistlücken mithilfe authentifizierter Schwachstellenprüfungen bewerten. Kunden müssen nach der Inhaltsaktualisierung einen Neustart der Konsole durchführen, um nach diesen Schwachstellen zu suchen.

InsightIDR generiert eine Warnung, wenn in Ihrer Umgebung verdächtige Aktivitäten festgestellt werden. Der Insight Agent muss auf Exchange-Servern installiert sein, um das im Rahmen dieses Angriffs beobachtete Verhalten des Angreifers zu erkennen.