Cloud basiertes Sicherheitsunternehmen Rapid7 warnt Unternehmen, Behörden und Krankenhäuser vor hoher Gefahr durch aktuelle MS Exchange Schwachstellen

Kritische Schwachstellen in on premise Microsoft Exchange Systemen - Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt und stuft Schwachstellen als kritisch ein - Kunden von Rapid7, die Insight VM und/oder InsightIDR Lösungen im Einsatz haben, wurden bereits frühzeitig vor diesen Schwachstellen gewarnt - In Deutschland hohe Anzahl bedrohter Systeme

In der Nacht zum Mittwoch, den 3. März 2021, hat Microsoft Updates für Exchange Server veröffentlicht. Hiermit werden vier Schwachstellen geschlossen, die in Kombination bereits für zielgerichtete Angriffe verwendet werden und Tätern die Möglichkeit bieten, Daten abzugreifen oder weitere Schadsoftware zu installieren.

Das Microsoft Threat Intelligence Center (MSTIC) hat am 02. März 2021 zum ersten Mal offiziell vor vier kritischen Schwachstellen bei on premise installierten Microsoft Exchange Systemen gewarnt.

Gemäß der offiziellen Warnung (Status: Rot - kritisch) des BSI (mehr) handelt es sich um die Schwachstellen:

CVE-2021-26855 (mehr):Hierbei handelt es sich um eine Server-Seitige Request Forgery (SSRF) Schwachstelle in Exchange, die es Angreifern ermöglicht, beliebige HTTP Anfragen zu senden und sich als Exchange Server zu authentifizieren.

CVE-2021-26857 (mehr): Hierbei handelt es sich um eine unsichere Deserialization Schwachstelle im Unified Messaging Dienst von Exchange. Eine unsichere Deserialization liegt vor, wenn nicht vertrauenswürdige, vom Benutzer kontrollierbare Daten von einem Programm wieder aus einer Byte Folge in einer ausführbares Objekt umgewandelt werden können. Dies ermöglicht einem Angreifer Code als SYSTEM auf einem Exchange Server auszuführen. Hierzu sind Administratorrechte oder das Ausnutzen anderer Schwachstellen notwendig.

CVE-2021-26858 (mehr): Hierbei handelt es sich um zwei Schwachstellen in Exchange, mit deren Hilfe Angreifer nach der Authentifizierung beliebige Dateien schreiben können. Wenn sich Angreifer bei einem Exchange-Server authentifizieren könnten, könnten sie diese Schwachstellen nutzen, um eine Datei in einen beliebigen Pfad auf dem Server zu schreiben. Sie könnten sich authentifizieren, indem sie die SSRF-Schwachstelle (CVE-2021-26855 - siehe oben) ausnutzen oder die Anmeldedaten eines legitimen Administrators ausspionieren.

Das Microsoft Threat Intelligence Center konnte von beobachteten, diese Schwachstellen ausnutzenden Angriffen berichten, dass die Angreifer auf lokale Exchange Server zugegriffen haben, einen Zugriff auf E-Mail Konten erlangten und sogar die Installation zusätzlicher Malware möglich war, um sich langfristig einen Zugang zu den Umgebungen der Opfer zu gewährleisten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist in einer aktuellen Cyber-Sicherheitswarnung (CSW-Nr. 2021-197772-1632, Version 1.6, 09.03.2021) ebenfalls auf diese kritischen Schwachstellen in Microsoft Exchange Systemen hin¹. Das BSI berichtet, dass nach Ansicht von Microsoft sich die Angriffe gegen amerikanische Forschungseinrichtungen mit Pandemie-Fokus, Hochschulen, Anwaltsfirmen, Organisationen aus dem Rüstungssektor, Think Tanks und NGOs richten. Microsoft vermutet hinter den Vorfällen eine staatliche Hackergruppe aus China, die HAFNIUM genannt wird.

Wie konnte Rapid7 beim Erkennen und der Lösung der Problematik helfen?

Ab dem 27. Februar 2021 hat Rapid7 einen bemerkenswerten Anstieg der schadhaften Ausnutzung von Microsoft Exchange Systemen durch die in die Rapid7 InsightIDR integrierte Attacker Behavior Analytics (ABA) beobachtet. Die Managed Detection and Response (MDR) Abteilung von Rapid7 konnte in den nächsten 72 Stunden mehrere, zusammenhängende Kompromittierungen identifizieren. In den meisten Fällen lädt dabei der Angreifer eine "eval"-Webshell hoch, die gemeinhin als "Chopper" oder "China Chopper" bezeichnet wird. Mit dieser Basis lädt der Angreifer dann weitere Tools hoch und führt sie aus. Dies hat primär das Ziel, Anmeldedaten zu stehlen. Bei weiteren Untersuchungen wurden Überschneidungen bei den Techniken und der Infrastruktur der Angreifer festgestellt. Nähere Informationen zur Erkennung durch die Rapid7 Schwachstellenmanagement-Lösung InsightVM findest du hier, und weitere Informationen zur Erkennung durch die Rapid7 Incident und Response Lösung Insight IDR findest du hier.

Dies ist ein sehr gutes Beispiel, wie die leistungsstarken Lösungen von Rapid7 Nutzern permanent dabei helfen, sich vor diesen gefährlichen Schwachstellen zu schützen und vor allem das so ein Schutz in der heutigen Zeit zwingend notwendig ist.

Über Rapid7

Rapid7 ist ein Anbieter von Cloud SIcherheitslösungen in den Bereichen Schwachstellen- management, Applikationssicherheit, Incident Detection und Response (SIEM) sowie der kontinuierlichen Überprüfung von Compliance Richtlinien in der Public Cloud. Durch den Cloud-orientierten Ansatz und einem großen Netzwerk lokaler Partner können so vor allem Kunden aus dem Mittelstand aussagekräftige und hochqualitative Berichte und Dashboards über Schwachstellen und interne wie auch externe Angriffsversuche im eigenen Netzwerk ohne den sonst üblichen sehr hohen Personalaufwand, mit hoher Expertise und zu kalkulierbaren Kosten zur Verfügung gestellt werden.

Weitere Informationen zu den Lösungen zu Rapid7 findest du hier.