Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

ProxyShell: Angreifer suchen aktiv nach anfälligen Microsoft Exchange-Servern (CVE-2021-34473)

Drei Schwachstellen des DEVCORE-Forschers Orange Tsai könnten verkettet werden, um eine nicht authentifizierte Ausführung von Remote-Code zu erreichen. Angreifer sind auf der Suche nach anfälligen Instanzen, um diese auszunutzen.

Update vom 23. August: Der Abschnitt „Analyse“ wurde mit Informationen über die Ausnutzung dieser Schwachstellenkette aktualisiert. Unternehmen sollten umgehend ein Update durchführen .

Hintergrund

Letzte Woche auf den Sicherheitskonferenzen Black Hat USA und DEF CON präsentierte der DEVCORE-Forscher Orange Tsai einen Vortrag mit dem Titel „ProxyLogon is Just the Tip of the Iceberg: A New Attack Surface on Microsoft Exchange Server!“ (ProxyLogon ist nur die Spitze des Eisbergs: Eine neue Angriffsfläche auf Microsoft Exchange Server!). In seiner Black Hat-Präsentation ging er auf drei Schwachstellen in Microsoft Exchange Server ein:

CVE Beschreibung CVSSv3 VPR*
CVE-2021-34473 Remote Code Execution-Schwachstelle in Microsoft Exchange Server 9.1 9
CVE-2021-34523 Elevation of Privilege-Schwachstelle in Microsoft Exchange Server 9.0 8.4
CVE-2021-31207 Security Feature Bypass-Schwachstelle in Microsoft Exchange Server 6.6 8.4

Quelle: Tenable, August 2021

*Hinweis: Die VPR-Werte (Vulnerability Priority Rating) von Tenable werden jede Nacht berechnet. Dieser Blogbeitrag wurde am 9. August veröffentlicht und bezieht sich auf den VPR-Wert zu diesem Zeitpunkt.

Orange Tsai ist ein äußerst produktiver Forscher, der viele hochgradig gefährliche Schwachstellen in einer Vielzahl von Produkten gefunden hat. Die relevanteste ist CVE-2021-26855, auch bekannt als ProxyLogon, die Tsai im Januar an Microsoft meldete (Volexity und das Microsoft Threat Intelligence Center erhielten ebenfalls Anerkennung für die Entdeckung dieser Schwachstelle). Trotzdem wurde ProxyLogon als Zero-Day von der Bedrohungsgruppe HAFNIUM und anderen APT-Akteuren ausgenutzt. Selbst nach der Herausgabe eines Out-of-Band-Patch für ProxyLogon durch Microsoft wird die Schwachstelle weiterhin von Bedrohungsakteuren für verschiedene Arten von Angriffen ausgenutzt, von Cryptomining über die Bildung von Botnets bis hin zu Ransomware.

Analyse

CVE-2021-34473 ist eine Remote Code Execution-Schwachstelle und hat mit einem CVSSv3-Score von 9.1 die höchste Bewertung. CVE-2021-34523 and CVE-2021-31207 wurden ursprünglich gemäß dem Exploitability Index von Microsoft als „Exploitation Less Likely“ (Ausnutzung weniger wahrscheinlich) eingestuft, da sie unabhängige Merkmale aufweisen. Wenn sie jedoch miteinander verkettet werden, haben sie für Angreifer einen erheblichen Nutzen. Durch die Verkettung dieser Schwachstellen könnte ein Angreifer beliebige Befehle auf anfälligen Exchange-Servern an Port 443 ausführen. Zwei der drei ProxyShell-Schwachstellen, CVE-2021-34473 und CVE-34523, wurden im Rahmen der Patch Tuesday-Veröffentlichung vom April 2021 gepatcht, obwohl sie laut Microsoft in diesem Security Update Guide „versehentlich ausgelassen“ wurden. CVE-2021-31207 wurde im Mai gepatcht.

Angreifer scannen aktiv nach Exchange-Servern, die für ProxyShell anfällig sind

Am 6. August berichtete der Sicherheitsforscher Kevin Beaumont von Versuchen, diese Schwachstellenkette aktiv auszunutzen.

In den darauffolgenden Tagen veröffentlichten mehrere Computer Security Incident Response Teams Warnungen über Angreifer, die nach anfälligen Microsoft Exchange Servern scannen. Da ProxyLogon und andere Exchange Server-Schwachstellen in diesem Jahr schon so häufig ausgenutzt wurden, empfehlen wir Unternehmen die sofortige Installation von Patches. Angreifer finden bereits jetzt anfällige Server, die sie angreifen können. Daher ist es ratsam, Incident Response-Verfahren einzuleiten, wenn Sie wissen, dass Sie ungepatchte Server in Ihrem Netzwerk haben.

CISA fordert Unternehmen auf, Server zu patchen

Laut Symantecs Threat Hunter Team und Huntress Labs suchen Angreifer weiterhin nach anfälligen Microsoft Exchange-Servern und nutzen diese Angriffskette zur Verteilung der LockFile-Ransomware. Symantec meldet außerdem, dass bei diesen Angriffen der PetitPotam-Exploit verwendet wird, um sich Zugang zu Domänencontrollern zu verschaffen und so die Ransomware in den Zielnetzwerken zu verbreiten.

Als Reaktion veröffentlichte die Cybersecurity and Infrastructure Security Agency eine dringende Warnung, in der Unternehmen eindringlich dazu geraten wird, anfällige Server zu identifizieren und die Schwachstellen zu beseitigen.

Proof-of-Concept

Nach den Vorträgen von Tsai in der vergangenen Woche veröffentlichten zwei weitere Forscher ihre Reproduktion von Tsais Arbeit, die weitere technische Details zur Ausnutzung der Schwachstellenkette enthielt. Einer der Forscher, Jang, veröffentlichte Anfang des Jahres außerdem einen Proof-of-Concept für ProxyLogon.

Reaktion des Anbieters

Microsoft hat alle diese Schwachstellen im Rahmen seiner Patch Tuesday-Releases im April und Mai behoben.CVE-2021-34473 und CVE-2021-34523 wurden im April 2021 gepatcht, doch Microsoft veröffentlichte die entsprechenden Sicherheitshinweise erst im Juli.

Identifizieren betroffener Systeme

Eine Liste aller Tenable-Plugins zur Identifizierung dieser Schwachstellen finden Sie hier.

Weitere Informationen

Verfolgen Sie die Beiträge des Security Response Team von Tenable in der Tenable Community.

Erfahren Sie mehr über Tenable, die erste Cyber Exposure-Plattform für die ganzheitliche Verwaltung Ihrer modernen Angriffsoberfläche.

Holen Sie sich eine kostenlose 30-tägige Testversion von Tenable.io Vulnerability Management.

Verwandte Artikel

Sind Sie durch die neuesten Exploits gefährdet?

Geben Sie Ihre E-Mail-Adresse ein, um die neuesten Warnmeldungen zu Cyberrisiken in Ihrem Posteingang zu erhalten.

tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable.io Vulnerability Management umfasst außerdem Tenable Lumin, Tenable.io Web Application Scanning und Tenable.cs Cloud Security.

tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable.io Vulnerability Management umfasst außerdem Tenable Lumin, Tenable.io Web Application Scanning und Tenable.cs Cloud Security.

Tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable.io Web Application Scanning testen

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Ihre Testversion von Tenable Web Application Scanning umfasst außerdem Tenable.io Vulnerability Management, Tenable Lumin und Tenable.cs Cloud Security.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable.io Container Security testen

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Ihre Tenable Lumin-Testversion umfasst außerdem Tenable.io Vulnerability Management, Tenable.io Web Application Scanning und Tenable.cs Cloud Security.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.

Tenable.cs testen

Profitieren Sie von vollem Zugriff, um Fehlkonfigurationen in Cloud-Infrastruktur zu erkennen und zu beheben und Schwachstellen in der Laufzeitumgebung anzuzeigen. Melden Sie sich jetzt für Ihre kostenlose Testversion an.

Ihre Testversion von Tenable.cs Cloud Security umfasst außerdem Tenable.io Vulnerability Management, Tenable Lumin und Tenable.io Web Application Scanning.

Kontaktieren Sie einen Vertriebsmitarbeiter, um Tenable.cs zu kaufen

Kontaktieren Sie einen unserer Vertriebsmitarbeiter, um mehr über Tenable.cs Cloud Security zu erfahren und herauszufinden, wie einfach es ist, Ihre Cloud-Konten einzurichten und innerhalb von Minuten Einblick in Cloud-Fehlkonfigurationen und Schwachstellen zu erhalten.

Nessus Expert kostenlos testen

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie nutzen bereits Nessus Professional?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Sonderpreise bis 31. Dezember verlängert.
Mehrjahreslizenz kaufen und noch mehr sparen!

Support und Training hinzufügen