Now Reading
Microsoft Exchange Server-Fehler jetzt für jedes BEC-Angriffe ausgenutzt

Microsoft Exchange Server-Fehler jetzt für jedes BEC-Angriffe ausgenutzt

Microsoft Exchange Server-Fehler jetzt für BEC-Angriffe ausgenutzt


Bedrohungsakteure nutzen wenige gefährliche neue Taktiken, um die sogenannten ProxyShell-Schwachstellen in lokalen Exchange-Servern auszunutzen, die Microsoft Ursprung dieses Jahres gepatcht hat – und die im Juli Ziel weit verbreiteter Angriffe waren.

Im Zusammenhang mehreren kürzlich durchgeführten Incident-Response-Engagements fanden die Forscher von Mandiant hervor, dass Angreifer ProxyShell missbraucht hatten, um Web-Shells uff anfällige Systeme uff eine andere – und schwieriger zu erkennende – Weise qua zwischen früheren Angriffen abzulegen. Im Zusammenhang einigen Angriffen übersprangen Bedrohungsakteure Web-Shells vollwertig und erstellten stattdessen ihre eigenen versteckten, privilegierten Postfächer, die ihnen die Möglichkeit spendieren, Konten zu übernehmen und andere Probleme zu verursachen.

Solange bis zu 30.000 mit dem Web verbundene Exchange-Server bleiben für jedes sie Angriffe empfänglich, da sie nicht gepatcht wurden, sagte Mandiant.

ProxyShell 101
ProxyShell ist eine Posten von drei Sicherheitslücken in Exchange Server: CVE-2021-34473, eine kritische Sicherheitsanfälligkeit in Hinblick auf Remotecodeausführung, die keine Benutzeraktion oder -berechtigungen erfordert, um sie auszunutzen; CVE-2021-34523, eine Sicherheitsanfälligkeit in Hinblick auf dieser Erhöhung von Berechtigungen nachdem dieser Authentifizierung; und CVE-2021-31207, ein mittelschwerer Fehler nachdem dieser Authentifizierung, dieser Angreifern die Möglichkeit gibt, administrativen Zugriff uff anfällige Systeme zu erhalten. Die Sicherheitsanfälligkeiten vorliegen in mehreren Versionen von Exchange Server 2013, 2016 und 2019.

Microsoft hat die Fehler im vierter Monat des Jahres und Mai gepatcht, im Gegensatz dazu erst im Juli CVEs zugewiesen oder die Patches veröffentlicht. Im August warnte die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) vor Angreifern, die die drei Schwachstellen miteinander verketten, um anfällige Exchange-Server auszunutzen.

Sicherheitsanbieter berichteten, dass Bedrohungsakteure die Fehler hauptsächlich ausnutzen, um Web-Shells uff Exchange-Servern bereitzustellen, die sie zwischen zukünftigen Angriffen verwenden könnten. Eine Schlusswort von Huntress Labs ergab, dass die von Angreifern am häufigsten eingesetzte Web-Shell XSL Transform war. Andere gängige Web-Shells waren Encrypted Reflected Assembly Loader, Kommentartrennung und Verschleierung des “unsicheren” Schlüsselworts, Jscript Base64 Encoding und Character Typecasting und Arbitrary File Uploader.

Joshua Goddard, ein Konsulent des Incident-Response-Teams von Mandiant, sagt, dass Angreifer, die ProxyShell ausnutzten, zunächst Web-Shells droben Postfach-Exportanfragen ablegten. “

Ebendiese Web-Shells könnten verwendet werden, um aus dieser Ferne uff Exchange-Server zuzugreifen und Unternehmen weiter zu gefährden, wie zum Leitvorstellung die Zurverfügungstellung von Ransomware uff Geräten“, sagt er.

Die Provider von Antiviren- und Endpunkterkennung und -reaktion (EDR) nach sich ziehen jedoch schnell Erkennungen für jedes Web-Shells erstellt, die droben den Postfachexport erstellt wurden. Dasjenige ist wahrscheinlich dieser Grund zu diesem Zweck, dass Angreifer nachdem neuen Wegen suchen, um die Vorteile von Exchange Server-Systemen auszunutzen, die noch nicht gegen ProxyShell gepatcht sind, sagt Goddard.

Die Taktik, die Angreifer jetzt verwenden, besteht darin, Web-Shells aus dem Zertifikatsspeicher zu exportieren.

“Uff sie Weise erstellte Web-Shells nach sich ziehen nicht die gleiche Dateistruktur wie die durch den Postfach-Export erstellten. Angreifer nach sich ziehen damit wenige Erfolge erzielt, da nicht ganz Sicherheitstools droben entsprechende Erkennungen verfügen”, bemerkt Goddard.

Mandiant-Forscher beobachteten wiewohl ProxyShell-Angriffe, zwischen denen Bedrohungsakteure keine Web-Shells einsetzten, sondern stattdessen hochprivilegierte Postfächer erstellten, die aus dieser Adressliste ausgeblendet wurden. Sie nach sich ziehen diesen Postfächern Berechtigungen für jedes andere Konten zugewiesen und sich dann droben den Webclient angemeldet, um Datenansammlung zu durchsuchen oder zu stehlen.

“Dies ist die bedeutendste Tapetenwechsel in dieser Taktik”, sagt Goddard. „Angreifer nutzen ProxyShell-Schwachstellen, um geschäftliche E-Mail-Dienst-Kompromittierung zu hinhauen [BEC] während sie ausschließlich mit den Exchange-Diensten verbunden werden, anstatt mit den Betriebssystemen, die sie hosten”, wie es beim In See stechen von Web-Shells dieser Sachverhalt ist.

Angreifer mit dieser Spezies von Zugriff könnten unter Umständen Phishing-Angriffe gegen andere Entitäten starten, die die E-Mail-Dienst-Unterbau dieser Opferorganisation verwenden, warnt er. Da keine schädlichen Dateien uff die Plattenlaufwerk abgelegt werden, wird es für jedes Unternehmen schwieriger, sie Angriffe zu wiedererkennen.

Eine Vielzahl von Exchange Server-Fehlern
Microsoft – und damit wiewohl seine Kunden – hatten in diesem Jahr wenige Probleme mit Exchange Server-Fehlern.

Dasjenige bemerkenswerteste war im März, qua dasjenige Unternehmen Notlage-Patches für jedes eine Schlange von vier Sicherheitslücken in dieser Technologie bewilligen musste, die zusammen qua ProxyLogon bezeichnet werden. Die Patches kamen, nachdem eine chinesische Bedrohungsgruppe namens Hf und später andere entdeckt wurden, die die Fehler in Tausenden von Organisationen rührig ausnutzten. Die Unbehagen droben die Angriffe war so weithin, dass ein Gerichtshof dasjenige FBI ermächtigte, den beispiellosen Schrittgeschwindigkeit zu unternehmen, die Web-Shells zu explantieren, die Angreifer uff Systeme von Hunderten von US-Organisationen abgeworfen hatten – ohne sie vorher zu benachrichtigen.

Im September berichteten Forscher von Trend Micro, ProxyToken gefunden zu nach sich ziehen, kombinieren weiteren Fehler von Exchange Server, dieser es Angreifern ermöglichte, gezielte E-Mails zu kopieren oder an ein von Angreifern kontrolliertes Konto weiterzuleiten. Im Laufe des Jahres hat Microsoft andere Sicherheitslücken in Exchange Server unterschiedlichen Schweregrades offengelegt, darunter eine Zero-Day-Risiko (CVE-2021-42321), die dasjenige Unternehmen in seinem Sicherheitsupdate vom November behoben hat.

Goddard sagt, dass zumindest wenige dieser 30.000 Systeme, die qua empfänglich für jedes ProxyShell erscheinen, wahrscheinlich Honeypots sind; eine große Quantität jedoch nicht.

“Organisationen, die Morgen gepatcht nach sich ziehen, können sicher sein, im Gegensatz dazu Organisationen, die noch nicht gepatcht nach sich ziehen und deren Server mit dem Web verbunden sind, sind einem erheblichen Risiko ausgesetzt”, warnt er.

Organisationen, die seit dieser Zeit dieser Offenlegung dieser Sicherheitslücken für jedes kombinieren beliebigen Zeitraum nicht gepatcht wurden, sollten eine Kontrolle aller unbekannten Dateien uff den Servern, Postfachkonten und Postfachberechtigungen machen, sagt er.

„Organisationen sollen neu erstellte Dateien äußerlich von Änderungsfenstern wiedererkennen und validieren und kombinieren Zusammenfassung droben Konfigurationsänderungen an ihrer Exchange-Unterbau nach sich ziehen, die mit definierten Änderungsanforderungen verknüpft werden sollten“, sagt Goddard.

What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top