ProxyShell: Angreifer suchen aktiv nach anfälligen Microsoft Exchange-Servern (CVE-2021-34473)
Drei Schwachstellen des DEVCORE-Forschers Orange Tsai könnten verkettet werden, um eine nicht authentifizierte Ausführung von Remote-Code zu erreichen. Angreifer sind auf der Suche nach anfälligen Instanzen, um diese auszunutzen.
Update vom 23. August: Der Abschnitt „Analyse“ wurde mit Informationen über die Ausnutzung dieser Schwachstellenkette aktualisiert. Unternehmen sollten umgehend ein Update durchführen .
Hintergrund
Letzte Woche auf den Sicherheitskonferenzen Black Hat USA und DEF CON präsentierte der DEVCORE-Forscher Orange Tsai einen Vortrag mit dem Titel „ProxyLogon is Just the Tip of the Iceberg: A New Attack Surface on Microsoft Exchange Server!“ (ProxyLogon ist nur die Spitze des Eisbergs: Eine neue Angriffsfläche auf Microsoft Exchange Server!). In seiner Black Hat-Präsentation ging er auf drei Schwachstellen in Microsoft Exchange Server ein:
| CVE | Beschreibung | CVSSv3 | VPR* |
|---|---|---|---|
| CVE-2021-34473 | Remote Code Execution-Schwachstelle in Microsoft Exchange Server | 9.1 | 9 |
| CVE-2021-34523 | Elevation of Privilege-Schwachstelle in Microsoft Exchange Server | 9.0 | 8.4 |
| CVE-2021-31207 | Security Feature Bypass-Schwachstelle in Microsoft Exchange Server | 6.6 | 8.4 |
Quelle: Tenable, August 2021
*Hinweis: Die VPR-Werte (Vulnerability Priority Rating) von Tenable werden jede Nacht berechnet. Dieser Blogbeitrag wurde am 9. August veröffentlicht und bezieht sich auf den VPR-Wert zu diesem Zeitpunkt.
Orange Tsai ist ein äußerst produktiver Forscher, der viele hochgradig gefährliche Schwachstellen in einer Vielzahl von Produkten gefunden hat. Die relevanteste ist CVE-2021-26855, auch bekannt als ProxyLogon, die Tsai im Januar an Microsoft meldete (Volexity und das Microsoft Threat Intelligence Center erhielten ebenfalls Anerkennung für die Entdeckung dieser Schwachstelle). Trotzdem wurde ProxyLogon als Zero-Day von der Bedrohungsgruppe HAFNIUM und anderen APT-Akteuren ausgenutzt. Selbst nach der Herausgabe eines Out-of-Band-Patch für ProxyLogon durch Microsoft wird die Schwachstelle weiterhin von Bedrohungsakteuren für verschiedene Arten von Angriffen ausgenutzt, von Cryptomining über die Bildung von Botnets bis hin zu Ransomware.
Analyse
CVE-2021-34473 ist eine Remote Code Execution-Schwachstelle und hat mit einem CVSSv3-Score von 9.1 die höchste Bewertung. CVE-2021-34523 and CVE-2021-31207 wurden ursprünglich gemäß dem Exploitability Index von Microsoft als „Exploitation Less Likely“ (Ausnutzung weniger wahrscheinlich) eingestuft, da sie unabhängige Merkmale aufweisen. Wenn sie jedoch miteinander verkettet werden, haben sie für Angreifer einen erheblichen Nutzen. Durch die Verkettung dieser Schwachstellen könnte ein Angreifer beliebige Befehle auf anfälligen Exchange-Servern an Port 443 ausführen. Zwei der drei ProxyShell-Schwachstellen, CVE-2021-34473 und CVE-34523, wurden im Rahmen der Patch Tuesday-Veröffentlichung vom April 2021 gepatcht, obwohl sie laut Microsoft in diesem Security Update Guide „versehentlich ausgelassen“ wurden. CVE-2021-31207 wurde im Mai gepatcht.
Angreifer scannen aktiv nach Exchange-Servern, die für ProxyShell anfällig sind
Am 6. August berichtete der Sicherheitsforscher Kevin Beaumont von Versuchen, diese Schwachstellenkette aktiv auszunutzen.
My Exchange honeypot has somebody dropping files and executing commands. https://t.co/pMVsl7y4iy
— Kevin Beaumont (@GossiTheDog) August 6, 2021
In den darauffolgenden Tagen veröffentlichten mehrere Computer Security Incident Response Teams Warnungen über Angreifer, die nach anfälligen Microsoft Exchange Servern scannen. Da ProxyLogon und andere Exchange Server-Schwachstellen in diesem Jahr schon so häufig ausgenutzt wurden, empfehlen wir Unternehmen die sofortige Installation von Patches. Angreifer finden bereits jetzt anfällige Server, die sie angreifen können. Daher ist es ratsam, Incident Response-Verfahren einzuleiten, wenn Sie wissen, dass Sie ungepatchte Server in Ihrem Netzwerk haben.
CISA fordert Unternehmen auf, Server zu patchen
Laut Symantecs Threat Hunter Team und Huntress Labs suchen Angreifer weiterhin nach anfälligen Microsoft Exchange-Servern und nutzen diese Angriffskette zur Verteilung der LockFile-Ransomware. Symantec meldet außerdem, dass bei diesen Angriffen der PetitPotam-Exploit verwendet wird, um sich Zugang zu Domänencontrollern zu verschaffen und so die Ransomware in den Zielnetzwerken zu verbreiten.
Als Reaktion veröffentlichte die Cybersecurity and Infrastructure Security Agency eine dringende Warnung, in der Unternehmen eindringlich dazu geraten wird, anfällige Server zu identifizieren und die Schwachstellen zu beseitigen.
Proof-of-Concept
Nach den Vorträgen von Tsai in der vergangenen Woche veröffentlichten zwei weitere Forscher ihre Reproduktion von Tsais Arbeit, die weitere technische Details zur Ausnutzung der Schwachstellenkette enthielt. Einer der Forscher, Jang, veröffentlichte Anfang des Jahres außerdem einen Proof-of-Concept für ProxyLogon.
Reaktion des Anbieters
Microsoft hat alle diese Schwachstellen im Rahmen seiner Patch Tuesday-Releases im April und Mai behoben.CVE-2021-34473 und CVE-2021-34523 wurden im April 2021 gepatcht, doch Microsoft veröffentlichte die entsprechenden Sicherheitshinweise erst im Juli.
Identifizieren betroffener Systeme
Eine Liste aller Tenable-Plugins zur Identifizierung dieser Schwachstellen finden Sie hier.
Weitere Informationen
- Tenable Blog: Auffinden von Proxylogon und verwandten Schwachstellen in Microsoft Exchange: Wie Tenable helfen kann
- DEF CON-Vortrag von Orange Tsai
- Reproduktion des Exploits von PeterJson and Jang auf Medium
Verfolgen Sie die Beiträge des Security Response Team von Tenable in der Tenable Community.
Erfahren Sie mehr über Tenable, die erste Cyber Exposure-Plattform für die ganzheitliche Verwaltung Ihrer modernen Angriffsoberfläche.
Holen Sie sich eine kostenlose 30-tägige Testversion von Tenable.io Vulnerability Management.
Verwandte Artikel
CVE-2023-34362: MOVEIt Transfer Critical Zero-Day Vulnerability Exploited in the Wild
June 2, 2023Discovery of a new zero-day vulnerability in MOVEit Transfer becomes the second zero-day disclosed in a managed file transfer solution in 2023, with reports suggesting that threat actors have stolen data from a number of organizations.
The Role of Open Source in Cloud Security: A Case Study with Terrascan by Tenable
May 11, 2023Open source software and cloud-native infrastructure are inextricably linked and can play a key role in helping to manage security. Open source security tools like Terrascan by Tenable are easy to scale, cost-effective and benefit from an agile community of contributors. Let’s take a look at how you can implement it today.
Microsoft’s May 2023 Patch Tuesday Addresses 38 CVEs (CVE-2023-29336)
May 9, 2023Microsoft addresses 38 CVEs including three zero-day vulnerabilities, two of which were exploited in the wild.
CVE-2023-34362: MOVEIt Transfer Critical Zero-Day Vulnerability Exploited in the Wild
June 2, 2023Discovery of a new zero-day vulnerability in MOVEit Transfer becomes the second zero-day disclosed in a managed file transfer solution in 2023, with reports suggesting that threat actors have stolen data from a number of organizations.
Cybersecurity Snapshot: Will AI Kill Us All? How Can You Boost Identity Security? Do You Use a Framework for Cloud Security?
June 2, 2023Check out a hair-raising warning from AI experts. Plus, find out why securing identities is getting harder than ever – and how to fix it. Also, how a cloud security framework can help you – a lot. In addition, check out nifty SaaS security tips. And much more!
Tenable Cyber Watch: OpenAI CEO Testifies Before Congress; Meet DarkBERT, New AI Trained on the Dark Web; and more
May 29, 2023This week’s edition of the Tenable Cyber Watch unpacks Sam Altman’s testimony before Congress on AI risks and regulations, and addresses the importance of cyberattack victims speaking up after an attack. Also covered: An introduction to DarkBERT, the only AI trained on the Dark Web.
- Schwachstellen-Management