Exchange ProxyShell Exploit nimmt Fahrt auf

Anfang August hat der Sicherheitsforscher bekannt unter dem Namen Orange Tsai auf der Black Hat USA Konferenz eine Kombination aus alten Sicherheitslücken vorgestellt, die es ermöglichen verwundbare Exchange Server anzugreifen und zu übernehmen. Dabei nutzt er Schwachstellen aus, die bereits im April und Mai durch Microsoft gepatcht worden sind.

Seit dem 12. August beobachten Sicherheitsforscher nun, wie die auf der Konferenz vorgestellten Ergebnisse aktiv ausgenutzt werden. Dabei wird unter anderem weiterer Schadcode verteilt (PetitPotam – NTLM-Relay Angriff), die es dem Angreifer ermöglicht die komplette Domäneninfrastruktur zu übernehmen oder auch um Ransomware zu verteilen.

Neuer Name, alte Lücke

Die ProxyShell getaufte Kombination beinhaltet konkret diese CVEs:

CVE-2021-34473
Severity: 10.0 Critical
Released: Jul 13, 2021
Link: CVE-2021-34473
Ermöglicht das Ausführen von Code aus der Ferne ohne vorherhige Authentifizierung. Diese Lücke stellt das Einfallstor dar.
Wurde bereits im Patch KB5001779 aus April gefixt.

CVE-2021-34523
Severity: 7.5 Critical
Released: Jul 13
Link: CVE-2021-34523
Ermöglicht das Ausführen von beliebigem Code unter Ausnutzung eines Authentifizierungsfehlers im Exchange Power-Shell Dienst, der das genutzte Zugriffstoken nicht korrekt validiert. Der Name der Attacke “ProxyShell” resultiert aus dieser Lücke. Wurde bereits im Patch KB5001779 aus April gefixt.

CVE-2021-31207
Severity: 6.6 High
Released: May 11, 2021
Link: CVE-2021-31207
Ermöglicht das Ausführen von Code im System Kontext und damit auch das beliebige Ablegen von Dateien im System. Wurde bereits im Patch KB5003435 aus Mai gefixt.

Für Verwirrung hat Microsofts Vorgehen erzeugt, dass die bereits im April mit dem Patch KB5001779 gefixten Lücken (CVE-2021-34473 und CVE-2021-34523) erst im Juli eine CVE Nummer von Microsoft zugewiesen bekommen haben. Zudem gibt es Uneinigkeit darüber, welche CVE nun konkret das Einstiegstor (Pre-Auth Patch Confusion, ACL Bypass) darstellt. Einig ist man sich aber darüber, dass die Patche zur Behebung der Sicherheitslücken existieren und schnellstmöglich eingespielt werden sollten!

Ist das Hafnium 2.0?

Ja und nein. Die Lücken ähneln den Lücken der Hafnium Attacke aus März. Hafnium hat viele Administratoren aber praktisch über Nacht kalt erwischt. Als die Patches veröffentlicht wurden waren die Attacken auf die Exchange Server bereits in vollem Gange. Die jetzigen Lücken der ProxyShell Attacke sind seit Monaten gepatcht und Administratoren hatten Zeit sich vorzubereiten.

Wie schützen sie sich?

Wenn Sie auf ihrem Exchange Server 2013/2016/2019 mindestens die Patche aus April und Mai (KB5001779 + KB5003435) installiert haben, dann sind sie für das Einfallstor CVE-2021-34473 geschützt. Die Sicherheitspatche aus Juli sollten zur gänzlichen Absicherung auch gegen die CVE-2021-31206 ebenfalls eingespielt werden. Beachten sie dazu bitte auch unseren Hinweis aus unserem Blog zum ECP und OWA.

Unser Rat ist weiterhin Ihre Exchange Server immer so aktuell wie möglich zu halten! Spätestens seit Hafnium im März 2021 ist der Exchange Server eine Spielwiese für böswillige Akteure geworden und wird wortwörtlich “auf Links” gedreht um jede noch so kleine Lücke ausfindig zu machen.

Mit Greenbone haben sie die Möglichkeit, einen fortwährenden Schwachstellenscan zu implementieren. Sie werden so zeitnah über mögliche Sicherheitslücken in Ihrem System informiert und sind damit in der Lage proaktiv statt nur reaktiv handeln zu können
Weitere Informationen dazu finden sie auf unserer Homepage.

Wenn möglich, dann wechseln Sie nach Exchange Online. Ihre Cloud Designer beraten sie gerne auf dem Weg dorthin!