Microsoft Exchange Zero-Day-Schwachstellen bedrohen weltweit Hunderttausende Server

Zehntausende Exchange-Server sind angreifbar und vermutlich infiziert. Wir beleuchten die Hintergründe und geben Tipps.

Inhaltsverzeichnis

Zehntausende Exchange-Server deutschlandweit und sogar hunderttausende Server weltweit, sind angreifbar und vermutlich sogar infiziert. Grund dafür sind mehrere als kritisch eingestufte Sicherheitslücken in verschiedenen Versionen des Microsoft Exchange-Server. Folgen können beispielsweise der Ausfall von wichtigen Diensten und das Einbrechen des Geschäftsbetriebs sein. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Unternehmen, die Sicherheitsupdates von Microsoft sofort einzuspielen.

Microsoft Exchange Zero-Day-Schwachstellen

Schnelles Handeln ist gefragt

Der gängige AST-Security-Prozess in DevOps- oder NoOps-Umgebungen wird in dem nachfolgenden Schaubild beschrieben. Der Security-Berater implementiert initial den Security-Prozess in die CI/CD Pipeline, danach ist er nur noch beratend tätig. Er unterstützt die Entwickler mit dem Tooling und bei komplexen Vorfällen.

Wer noch kein Update eingespielt hat, muss davon ausgehen, dass die Daten des Exchange-Servers kompromittiert worden sind. Es wird von einem hohen Angriffsrisiko ausgegangen, da bereits Proof-of-Concept-Exploit-Codes verfügbar sind, weshalb anfällige Systeme dringend auf entsprechende Auffälligkeiten geprüft werden sollten. Das BSI hat sich bereits schriftlich mit Warnungen und Empfehlungen für Gegenmaßnahmen an diejenigen Unternehmen gewendet, welche nach den Kenntnissen des BSI, betroffenen Exchange-Server haben. Bislang sind mehr als 9.000 Unternehmen vom BSI kontaktiert worden, jedoch wird die Anzahl an betroffenen Unternehmen deutlich höher liegen.

Die vier Schwachstellen der Exchange-Server, die versucht werden mit aktuellen Updates von Microsoft zu eliminieren, werden aktiv von Hackern per Fernzugriff aus dem Internet ausgenutzt. Die Angreife können mitunter weitreichende Folgen haben, da der Exchange-Server bei vielen Installationen hohe Berechtigungen im Active Directory hat. Besorgniserregend ist außerdem, dass es tausende Exchange-Systeme gibt, bei denen immer noch Schwachstellen vorzufinden sind, welche seit längerer Zeit bekannt sind, allerdings nie mit Updates geschlossen werden konnten. Laut BSI sind hiervon insbesondere kleinere und mittlere Unternehmen betroffen. Oft ist nicht nur der Zugriff auf die E-Mail-Kommunikation der Unternehmen gewährleistet, sondern sogar der Zugriff auf das komplette Unternehmensnetzwerk.

Die Sicherheitslücke im Überblick

Betroffen sind von der Sicherheitslücke CVE-2020-0688 die Komponente Exchange Control Panel (ECP), welche sich auf alle Installationen von Exchange-Server auswirkt. Bis zum letzten Patch, hatten alle Exchange-Server denselben Validierungsschlüssel und Validierungsalgorithmus in der Datei web.config. Die POC-Exploits nutzen denselben Validierungsschlüssel und Validierungsalgorithmus, um einen serialisierten __VIEWSTATE-Anforderungsparameter zu erstellen, der einen eingebetteten Befehl enthält, der mit dem gültigen Schlüssel signiert ist. Standardmäßig versucht der POC nicht, die __VIEWSTATE-Daten zu verschlüsseln, obwohl dies eine Option ist. Der Server, der die bösartige Nutzlast empfängt, deserialisiert die __VIEWSTATE-Daten und führt Code als SYSTEM aus. Das Bild oben zeigt die Ausführung des POC-Exploits. Das Bild unten zeigt das Task-Manager-Fenster, in dem der bösartige POC-Befehl von calc.exe als SYSTEM ausgeführt wird.

Der Exploit sendet eine POST-Anfrage /owa/auth.owa. Die Anfrage enthält einen gültigen Benutzernamen und ein Kennwort. Wenn die Authentifizierung gelungen ist, fordert Exploit die Seiten /ecp/default.aspx and und versucht dadurch, den Inhalt von __VIEWSTATEGENERATOR und die ASP.NET.SessionID. zu erhalten. Anhand der Daten, die durch das Parsen von __VIEWSTATEGNERATOR gewonnen wurden, erstellt der Exploit eine serialisierte Nutzlast, die den auszuführenden bösartigen Befehl enthält. Die endgültige serialisierte Nutzlast wird dann an die /ecp/default.aspx zurückgeschickt.

Besonders anfällig für diese Art an Angriffen sind folgende Systeme:

  • /ecp/default.aspx
  • /ecp/PersonalSettings/HomePage.aspx
  • /ecp/PersonalSettings/HomePage.aspx4E
  • /ecp/Organize/AutomaticReplies.slab
  • /ecp/RulesEditor/InboxRules.slab
  • /ecp/Organize/DeliveryReports.slab
  • /ecp/MyGroups/PersonalGroups.aspx
  • /ecp/MyGroups/ViewDistributionGroup.aspx
  • /ecp/Customize/Messaging.aspx
  • /ecp/Customize/General.aspx
  • /ecp/Customize/Calendar.aspx
  • /ecp/Customize/SentItems.aspx
  • /ecp/PersonalSettings/Password.aspx
  • /ecp/SMS/TextMessaging.slab
  • /ecp/TroubleShooting/MobileDevices.slab
  • /ecp/Customize/Regional.aspx
  • /ecp/MyGroups/SearchAllGroups.slab
  • /ecp/Security/BlockOrAllow.aspx

Dies liegt daran, dass für all diese Systeme derselbe Validierungsschlüssel aus der web.config in jeder Seite verwendet wird. Dies gibt dem Angreifer die Möglichkeit, den VIEWSTATE zu manipulieren.

Komprimierungs-Indikatoren

IIS-Logs

Durch den Exploit wird in den Anwendungskontrollen eine SYSMON-Ereignis-ID 4 erzeugt. Im Ereignisprotokoll erscheint eine ERROR-Meldung, welche die Zielseite und die serialisierte Nutzlast enthält. Sinnvoll ist es auf jeden Fall, auf /ecp/root zusammen mit einer großen _VIEWSTATE-Variablen zu alarmieren, da eben mehrere Seiten anvisiert werden können.

Die ATP-Gruppen und ihre Verhaltensmuster

Derzeit nutzen mehr als zehn verschiedene ATP-Gruppen die Schwachstellen verstärkt aus, um E-Mail-Server zu kompromittieren. Unter anderem:

  • Tick: komprimierte den Webserver eines Unternehmens mit Sitz in Ostasien und hatte wahrscheinlich schon vor Veröffentlichung der Patches Zugang zum Exploit.
  • LuckyMouse: infizierte einen E-Mail-Server einer Regierungsbehörde im Nahen Osten.
  • Calypso: infizierte die E-Mail-Server von Regierungsstellen im Nahen Osten und in Südamerika. Es wurde außerdem noch weitere Server von Regierungsstellen in Afrika, Asien und Europa angegriffen.
  • Websiic: infizierte sieben E-Mail-Server von Unternehmen in Asien und einer staatlichen Einrichtung in Osteuropa.
  • Winnti Group: infizierte die E-Mail-Server eines Ölunternehmens und einer Firma für Baumaschinen in Asien.
  • Tonto Team: infizierte E-Mail-Server eines Beschaffungsunternehmens und Beratungsunternehmens, spezialisiert auf Softwareentwicklung und Cybersicherheit.
  • ShadowPad activity: infizierte die E-Mail-Server eines Softwareentwicklungsunternehmens mit Sitz in Asien und eines Immobilienunternehmens mit Sitz im Nahen Osten.
  • Operation“ Cobalt Strike: zielte auf rund 650 Server, hauptsächlich in den USA, Deutschland, Großbritannien und anderen europäischen Ländern.
  • Mikroceen: infizierte den Exchange-Server eines Versorgungsunternehmens in Zentralasien.
  • DLTMiner: setzten PowerShell-Downloader auf mehreren E-Mail-Servern ein, die zuvor über die Exchange-Schwachstellen angegriffen wurden.

Hacker arbeiten offenbar für die chinesische Regierung

Die amerikanische Cybersecurity sowie die Infrastructure Security Agency haben bereits Ende Februar mit Notfallrichtlinie darauf hingewiesen, die aktuellen Patches für den Microsoft Exchange-Server einzuspielen. Das Risiko, nicht aktiv zu werden, werden von den amerikanischen Behörden als nicht-akzeptabel eingestuft, da die Schwachstellen im Microsoft Exchange-Server in großen Stil ausgenutzt werden und „andauernder Systemzugang“ ermöglicht wird.

Microsoft vermutet hinter den Angriffen die Hackergruppe Hafnium, welche mit hoher Wahrscheinlichkeit für die chinesische Regierung arbeitet und vor allem US-amerikanische Unternehmen ausspioniert. Betroffen sind bereits Forscher im Gesundheitswesen, Anwaltskanzleien, zivilgesellschaftliche Organisationen, Bildungseinrichtungen sowie Rüstungsunternehmen.

E-Mail-Verkehr im Fokus der Hacker

Mindestens 30.000 Organisationen in den USA sind von besonders aggressiven Angriffen betroffen, darunter vor allem mittelständische Unternehmen und Städteverwaltungen sowie Gemeindeverwaltungen. Die Hacker haben es hierbei besonders auf den E-Mail-Verkehr der Organisationen abgesehen.

Bei sämtlichen Vorfällen wurde eine sogenannte „Web-Shell“ hinterlassen, welche ein einfach zu bedienendes, passwortgeschütztes Hacking-Tool ist, auf das von jedem Browser aus zugegriffen werden kann, wenn Administrator-Rechten vorhanden sind. Weltweit wurde laut Experten schon die Kontrolle von hunderttausenden Servern übernommen.

Hinweise kamen aus Virginia

Die IT-Sicherheitsfirma Volexity aus Virginia hat den ersten Hinweis auf die Schwachstellen der Microsoft Exchange-Server geliefert. Bereits am 28. Februar wurden die Zielsysteme attackiert. Selbst, wenn noch am selben Tag die Lücken gepatcht worden seien, hätte sich die Schadsoftware auf anfälligen Servern befunden. Die aktuelle Angriffswelle ist der zweite Fall einer großen Cyber-Kampagne, vonseiten ausländischer Regierungen.

Curious? Convinced? Interested?

Arrange a no-obligation consultation with one of our product experts today.

turingsecure Dashboard Screenshot