Zero Day Schwachstellen

Wie Angriffe auf Zero-Day-Schwachstellen in MS Exchange Server erkannt werden

Wie Angriffe auf Zero-Day-Schwachstellen in MS Exchange Server erkannt werden

Zero-Day Schwachstellen – ein Alptraum für IT-Security Teams

Von Bhabesh Raj Rai, Associate Security Analytics Engineer bei LogPoint

Bhabesh Raj Rai, Associate Security Analytics Engineer bei LogPoint

Zero-Day-Schwachstellen sind seit je her der Alptraum der IT-Sicherheitsfachleute, allerdings ist die Qualität entscheidend für die möglichen Auswirkungen. Die Anfang März von Microsoft veröffentlichten Sicherheitsupdates für MS Exchange Server gehören dazu. Von den sieben Schwachstellen, die behoben wurden, waren vier Zero-Day-Exploits. Noch dazu wurden diese bereits von mehreren Bedrohungsakteuren ausgenutzt. Die gepatchten Zero-Day-Schwachstellen sind CVE-2021-26855 , CVE-2021-26857 , CVE-2021-26858 sowie CVE-2021-27065 . Telemetriedaten von ESET zeigten, dass mehrere Cyberspionage-Gruppierungen chinesischen Ursprungs wie LuckyMouse , Tick und Calypso zumindest die Schwachstelle CVE-2021-26855 ausnutzten. Sie griffen aus der Ferne auf anfällige On-Premises-Exchange-Server zu und führten Befehle beziehungsweise schadhaften Code aus.

Darüber hinaus konnten Bedrohungsakteure die Schwachstellen verketten, um eine unauthentifizierte Remote-Code-Ausführung zu erreichen. Sie verbreiteten Web-Shells wie China Chopper , nachdem sie diese Schwachstellen erfolgreich ausgenutzt hatten. Die Firma Huntress hat aufgedeckt, wie mehrere Web-Shells auf einem einzigen Exchange-Server eingesetzt wurden, was wiederum auf eine Kompromittierung durch unabhängige Bedrohungsakteure hinweisen könnte. Administratoren sollten auf die Web-Shell-Drops achten, die von Huntress, Microsoft und ESET bereits dokumentiert wurden. FireEye wiederum unterteilt die Bedrohungsakteure , die diese Zero-Day-Exploits ausnutzen, derzeit in drei Cluster: UNC2639, UNC2640 und UNC2643, während das Microsoft Threat Intelligence Center (MSTIC) diese Kampagne der vom chinesischen Staat unterstützten Gruppe HAFNIUM zuordnet.

Systemadministratoren sollten berücksichtigen, dass diese Sicherheitsaktualisierung nicht für alle kumulativen Updates (CUs) und Rollup-Updates (RUs) verfügbar ist. Für Unternehmen, die nicht-unterstützte kumulative oder Rollup-Updates für Exchange-Server ausführen, müssen Administratoren also zunächst ein aktuell unterstütztes RU/CU installieren, bevor sie das Sicherheitsupdate einspielen können.

Erkennung von Exploits

Administratoren können mit dem Unified Messaging Service des Exchange-Servers nach der Erzeugung anormaler Prozesse suchen, die auf eine erfolgreiche Ausnutzung von CVE-2021-26857 hinweisen können. Sie können eine Ausnutzung von CVE-2021-26857 auch anhand der Windows-Application-Event-Logdaten erkennen, da die Ausnutzung dieses Deserialisierungsfehlers Error-Events im Unified Messaging Service erzeugt. Ebenso können sie danach suchen, ob der Unified Messaging Service des Exchange-Servers verdächtige Dateien ablegt. Dies kann auf Web-Shells oder andere schadhafte Payloads über die Ausnutzung von CVE-2021-26858 hinweisen.

Im Allgemeinen können Sie eine erfolgreiche Ausnutzung erkennen, wenn der IIS-Worker Process w3wp.exe die Eingabeaufforderung oder PowerShell startet.

Erkennung von schadhaften Post-Exploit-Aktivitäten

Microsofts Blog zu HAFNIUM beschreibt auch die Nutzung mehrerer Tools wie Nishang, PowerCat und Procdump in der Post-Exploit-Phase. So verwendete beispielsweise ein Bedrohungsakteur 7-Zip, um Dateien für die Exfiltration zu komprimieren. Sie können Sysmon nutzen, um nach verdächtigen File-Drops an ungewöhnlichen Speicherorten zu suchen. In ähnlicher Weise verwendete HAFNIUM auch Procdump, um den LSASS-Speicher für den Zugriff auf Anmeldeinformationen auszugeben und zu übertragen. Dies kann mit einer Suche nach Befehlszeilenargumenten von Procdump herausgefunden werden. Administratoren wird empfohlen über die Events zur Dateierzeugung in Sysmon nach Web-Shell-Drops zu suchen. Falls Microsoft Defender auf den Endpunkten eingesetzt wird, sollten Administratoren nach der folgenden Malware suchen und überprüfen, ob solche Events von Defender generiert wurden. HAFNIUM verwendet Invoke-PowerShellTcpOneLine von Nishang, einen einfachen, einzeiligen PowerShell-Reverse-Shell-Befehl, den mithilfe der Events für die Prozesserzeugung gesucht werden können. Zudem hat HAFNIUM das Exchange PowerShell Snap-in eingesetzt, das für den Export von Postfach-Daten genutzt werden kann. Dies kann anhand der Events für die Prozesserzeugung entweder in Sysmon oder in den nativen Event-Logdaten sehr leicht erkannt werden.

Volexity und FireEye haben auch die IoC-IP-Adressen offengelegt, die von Bedrohungsakteuren verwendet werden, um die Zero-Day-Schwachstellen auszunutzen. So können Administratoren einen unternehmensweiten IoC-Sweep initiieren, um festzustellen, ob ihre Exchange-Server kompromittiert wurden. Wie Huntress und FireEye feststellten, löschten die Bedrohungsakteure nach der Ausnutzung der Schwachstellen den Administrator-Account aus der Gruppe „Exchange Organizations Administrators“ via Net Command. Dies kann ebenfalls sehr leicht erkannt werden. Florian Roth von Nextron System hat eine Sigma-Regel für die Suche nach Exchange-Exploitation-Artefakten veröffentlicht, die von HAFNIUM hinterlassen werden.

Fazit

Bisher ließ sich feststellen, dass nur wenige auf Spionage ausgerichtete Bedrohungsakteure diese Zero-Day-Schwachstellen auf Exchange-Servern ausnutzen. Wir erwarten jedoch, dass finanziell motivierte Akteure diese Zero-Day-Sicherheitslücken im Laufe der Zeit in ihr Arsenal aufnehmen werden. Noch im März hat Microsoft Exchange Server 2016 CU 20 und Exchange Server 2019 CU 9 mit den Sicherheitsupdates für diese Zero-Day-Schwachstellen veröffentlicht. Systemadministratoren sollten ihre Exchange-Server umgehend patchen, wenn sie dies noch nicht getan haben. Einige Unternehmen stellten nach den Patch-Prozessen für ihre Server fest, dass diese bereits zuvor kompromittiert worden waren und die Bedrohungsakteure schon Persistenz aufgebaut hatten. Administratoren sollten berücksichtigen, dass Bedrohungsakteure die bereits erreichte Persistenz auf infizierten Systemen trotz der Patches aufrechterhalten können. Lösungen für das Security-Monitoring wie LogPoint SIEM kann Abhilfe schaffen und mit angereicherten Threat Intelligence-Feeds bei der Erkennung von Zero Days, APTs und Exploits unterstützen.