Threat Database Malware Zero-Day-Sicherheitslücken in Microsoft Exchange Server

Zero-Day-Sicherheitslücken in Microsoft Exchange Server

Microsoft Exchange-Schwachstellen Ein schwerer Angriff, bei dem vier Zero-Day-Sicherheitslücken in lokalen Versionen von Microsoft Exchange Server ausgenutzt wurden, wurde von einem vermutlich staatlich geförderten Bedrohungsakteur ausgeführt. Microsoft hatte bereits begonnen, die Aktivitäten dieses Hacker-Kollektivs unter der Bezeichnung HAFNIUM zu überwachen. Nach ihren Erkenntnissen befindet sich die Gruppe in China und wird von der chinesischen Regierung unterstützt.

Durch die Exploits konnten die Hacker illegal Zugriff auf den Exchange Server erhalten und eine Web-Shell erstellen, mit der sie das System fernsteuern konnten. Der Hauptzweck des Angriffs bestand darin, auf vertrauliche Daten zuzugreifen, die in den E-Mail-Konten des Opfers und im Offline-Adressbuch von Exchange enthalten sind. Die Web-Shell ermöglichte jedoch auch das Löschen zusätzlicher Malware-Nutzdaten. Beim HAFNIUM-Angriff wurde diese Funktionalität verwendet, um einen längeren Zugriff auf die Systeme des Opfers sicherzustellen.

Nachdem die Informationen über den Angriff veröffentlicht wurden, entdeckte Microsoft mehrere zusätzliche Bedrohungsakteure, die die Zero-Day-Schwachstellen in ihren Betrieb einbezogen haben. In nur 9 Tagen wurde eine neue Ransomware-Bedrohung durch die vier Sicherheitslücken beobachtet. Die Bedrohung wurde DearCry genannt, eine offensichtliche Hommage an die berüchtigte WannaCry-Malware, die Benutzer auf der ganzen Welt bei einem Angriff infiziert hat, bei dem verschiedene Microsoft-Sicherheitslücken ausgenutzt wurden.

Vier Zero-Day-Exploits haben den Angriff aktiviert

Die von HAFNIUM und den anderen Bedrohungsakteuren ausgenutzten Zero-Days werden als CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 verfolgt.

Die erste, CVE-2021-26855, ist eine SSRF-Sicherheitsanfälligkeit (Server-Side Request Forgery), mit der Angreifer beliebige HTTP-Anforderungen senden und sich als Exchange-Server authentifizieren können.

CVE-2021-26857 ist eine unsichere Deserialisierungsanfälligkeit im Unified Messaging-Dienst. Kurz gesagt, dieser Exploit ermöglichte es Angreifern, Code als SYSTEM auf dem Exchange-Serve auszuführen.

Die letzten beiden Exploits - CVE-2021-26858 und CVE-2021-27065 - bestehen aus einer Sicherheitsanfälligkeit beim Schreiben beliebiger Dateien nach der Authentifizierung.

Microsoft hat Sicherheitspatches und -tools veröffentlicht, um den Angriff abzuwehren

Nach dem Verstoß und aufgrund seines Schweregrads veröffentlichte Microsoft mehrere Sicherheitsupdates, um die Sicherheitsanfälligkeiten in älteren Versionen des Exchange Servers zu beheben. Der Technologieriese veröffentlichte auch einen Sicherheitsblog mit beobachteten IoC (Indicators of Compromise), Erkennungsrichtlinien und erweiterten Jagdanfragen, damit Kunden besser wissen, wo sie nach Anzeichen potenziell böswilliger Aktivitäten suchen können.

Um kleineren Kunden zu helfen, die keine dedizierten Cybersicherheits- oder IT-Abteilungen haben, hat Microsoft außerdem ein Tool zur Schadensbegrenzung mit einem Klick veröffentlicht. Das Microsoft Exchange On-Premises Mitigation Tool soll als vorläufige Sicherheitsmaßnahme für Bereitstellungen von Exchange Server 2013, 2016 und 2019 verwendet werden, während sich der Kunde auf die Installation des entsprechenden Sicherheitsupdates vorbereitet.

Im Trend

Am häufigsten gesehen

Wird geladen...