ProxyShell: Massive Angriffswelle auf ungepatchte Exchange-Server
(Bild: Tommy Lee Walker / Shutterstock.com)
Die Lücken sind bekannt, Patches da – trotzdem sind tausende Exchange-Server angreifbar. Nun rollt eine massive Angriffswelle, die die Schwachstellen ausnutzt.
Seit Freitag dieser Woche (20. August) läuft eine massive Angriffswelle auf ungepatchte on-premises Exchange Server in den Versionen 2013 bis 2019. Die Angriffe nutzen die sogenannte ProxyShell-Schwachstelle. Sicherheitsforscher haben binnen 48 Stunden die Übernahme von über 1.900 Exchange-Systemen durch installierte WebShells beobachtet. Der CERT-Bund hat zum Samstag (21. August) eine Sicherheitswarnung herausgegeben.
Bekannte Kombination mehrerer Schwachstellen
Das ist ein Scheitern mit Ansage: Bereits Anfang August 2021 hatte der Sicherheitsforscher Orange Tsai im Rahmen der BlackHat 2021 Hackerkonferenz neue Angriffsmethoden auf die on-premises Exchange Server vorgestellt. Ende der ersten August-Woche wurden dann bereits erste Scans des Internets nach verwundbaren Exchange-Servern [1] bekannt. Durch eine Kombination dreier Lücken [2] sind Remote-Angriffe per ProxyShell-Exploit auf Systeme möglich, die bisher nicht durch Updates gegen diese Schwachstellen gehärtet wurden und remote durchs Internet erreichbar sind: CVE-2021-34473 (als "kritisch" eingestuft), CVE-2021-34523 (ebenfalls "kritisch") und CVE-2021-31207 ("mittel").
Über die Suchmaschine Shodan ließen sich weltweit 240.000 aus dem Internet erreichbare Exchange Server ermitteln, von denen 46.000 angreifbar sein sollen. In Deutschland werden ca. 50.000 per Internet erreichbare Exchange-Server ausgewiesen, von denen über 7800 per ProxyShell-Exploit verwundbar sind.
Fast 2000 infizierte Server in 48 Stunden
Auch die Sicherheitsforscher der HuntressLabs haben die massive Angriffswelle ebenfalls verfolgt und schlagen Alarm. In einem Blog-Beitrag [3] führen die Sicherheitsforscher für den August 2021 fünf verschiedene Arten von WebShells auf, die über den ProyShell-Angriffsvektor auf anfälligen Microsoft Exchange-Servern eingesetzt werden. Über die WebShells verschaffen sich die Angreifer erhöhte Rechte und eine Hintertür für den Zugang zum System.
Binnen 48 Stunden wurden weltweit über 1.900 ungepatchte Exchange Server mit über 140 WebShells über die ProxyShell-Schwachstelle infiziert. Dabei sind Exchange Server 2013, 2016 und auch 2019 betroffen, wobei die WebShells mit zufälligen Namen versehen sind. Auch die Hintermänner der LockFile-Cyber-Gang versuchen verwundbare Exchange Server mit ihrer Ransomware anzugreifen und zu verschlüsseln.
Sicherheitsexperte Kevin Beaumont hat die neuesten Erkenntnisse in einem Beitrag bei doublepulsar [4] zusammen getragen. Zu den bisher betroffenen Unternehmen gibt HuntressLabs Bauunternehmen, Verarbeitungsbetriebe für Meeresfrüchte, Industriemaschinen, Autowerkstätten, ein kleiner lokaler Flughafen und weitere Firmen an.
Patches seit April 2021 verfügbar
Microsoft hat die für die ProxyShell-Angriffe benutzten Schwachstellen mit Sicherheitsupdates zum April 2021 geschlossen. Administratoren wurden seit Wochen aufgefordert, die betreuten on-premises Exchange Server auf den aktuellen Patchstand zu bringen. Zudem sollte sichergestellt sein, dass die Exchange Server nicht ungewollt und ungesichert per Internet erreichbar sind.
Wer bisher noch nicht gepatcht hat, könnte bereits mit einer Shell als Backdoor auf seinen Exchange-Systemen infiziert sein. Das nachträgliche Patchen entfernt diese Hintertüren und Infektionen nicht. Wie man Hinweise auf Infektionen findet [5] und seine Systeme absichert, hat heise Security beschrieben.
Beaumont hat ein ProxyShell-Skript für den nmap-Scanner [6] veröffentlicht, mit dem Administratoren ihre eigenen Exchange-Server auf die Anfälligkeit für ProxyShell-Angriffe testen können. Zudem hat Florian Roth für ProxyShell-Angriffe neue Sigma-Rules für SIEMS System [7] veröffentlicht.
(tiw [8])
URL dieses Artikels:
https://www.heise.de/-6171597
Links in diesem Artikel:
[1] https://www.heise.de/news/Exchange-Server-jetzt-patchen-Angreifer-suchen-aktiv-nach-neuer-Luecke-6158190.html
[2] https://www.heise.de/news/Angreifer-kombinieren-ProxyShell-Luecken-und-attackieren-Microsoft-Exchange-6164957.html
[3] https://www.huntress.com/blog/rapid-response-microsoft-exchange-servers-still-vulnerable-to-proxyshell-exploit
[4] https://doublepulsar.com/multiple-threat-actors-including-a-ransomware-gang-exploiting-exchange-proxyshell-vulnerabilities-c457b1655e9c
[5] https://www.heise.de/news/Exchange-ProxyShell-Luecke-Scans-suchen-nach-verwundbaren-Servern-6158946.html
[6] https://github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange-proxyshell.nse
[7] https://www.borncity.com/blog/2021/08/10/exchange-server-neues-zu-den-proxyshell-schwachstellen/
[8] mailto:tiw@heise.de
Copyright © 2021 Heise Medien