Wie können wir helfen?
Wie kann ich herausfinden, ob mein Exchange Server von dem Hafnium-Exploit betroffen ist?
Wer ist vom Microsoft Exchange Hack vom März 2021 betroffen?
Die kritischen Sicherheitsanfälligkeiten wirken sich auf On-Premise Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 aus. Exchange Online ist jedoch nicht betroffen.
Microsoft hat im März bestätigt, dass auch ältere Exchange Server Versionen bis zu Exchange 2010 mit Sicherheitsupdates versorgt werden.
Nachfolgende Übersicht zu den bestehenden Sicherheitsberichten:
- CVE-2021-26855: CVSS 9.1: Ein server-side request forgery (SSRF) Schwachstelle in Exchange, welche es einem Angreifer erlaubt, HTTP-Requests zu senden und sich am Exchange-Server ohne Authentifizierung anzumelden.
- CVE-2021-26857: CVSS 7.8: Die zweite Sicherheitslücke erlaubt es dem Angreifer, ohne Authentifizierung wie bei Punkt 1 den Zugriff mit erweiterten Rechten zu erlangen. Dies ist insbesondere gefährlich, da Exchange Powershell Code auch mit erweiterten Rechten ausgeführt werden kann. Hierüber ist es möglich, beliebigen Programmcode als SYSTEM auf dem Exchange-Server auszuführen. Mit diesem Vorgehen, kann der Angreifer weitere Rechte erlangen, u.a. bis hin zu Administrativen Rechten.
- CVE-2021-26858: CVSS 7.8 und CVE-2021-27065: CVSS 7.8: sind Schwachstellen, mit denen – nach Authentisierung – beliebige Dateien auf dem Exchange-Server geschrieben werden können. Die Authentisierung kann z.B. über CVE-2021-26855 oder abgeflossene Administrator-Zugangsdaten erfolgen.
Bei der Verwendung in einer Angriffskette können all diese Sicherheitsanfälligkeiten zu Remote Code Execution (RCE), Server-Hijacking, Backdoors, Datendiebstahl und möglicherweise weiterer Malware-Bereitstellung führen.
Zusammenfassend sagt Microsoft, dass Angreifer den Zugriff auf einen Exchange Server entweder durch diese Fehler oder durch gestohlene Anmeldeinformationen sichern und dann eine Web-Shell erstellen können, um das System zu überfallen und Befehle auszuführen.
Wie kann ich erkennen ob ich betroffen bin?
Die Schwachstellen erlauben es Angreifenden, auch auch ohne Credentials, Mails von beliebigen Postfächern auszulesen, beliebige Dateien auf dem Exchange Server (oder auf Freigaben mit der Identität des System-Benutzers des Exchange-Servers) zu schreiben und eigenen Code auf dem Exchange-Server im Kontext des System-Benutzers auszuführen. Auf diese drei Möglichkeiten sollte demnach geprüft werden. Dafür eignen sich die im Folgenden beschriebenen Methoden.
Diese Methoden lassen sich zum Teil automatisiert durch Skripte und geeignete Software überprüfen. Dazu zählen z.B.
- Microsoft Test Skript: https://github.com/microsoft/CSS-Exchange/tree/main/Security Das Tool enthält alle IOCs, die in dem Microsoft Blogpost beschriebe werden: https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ Hinweis: Achten Sie darauf immer die neueste Version des Skripts zu verwenden, da Microsoft bereits mehrere Updates veröffentlicht hat.
- Microsoft Support Emergency Response Tool (MSERT): Microsoft Defender hat den Microsoft Safety Scanner (MSERT.exe) aktualisiert, um mögliche Ausnutzungen des Microsoft Exchange Schwachstellen zu detektieren. Das Tool kann von Administratoren für Server genutzt werden, die nicht von Microsoft Defender geschützt werden (Hinweis: Das Tool muss mit dem Argument “/N” gestartet werden, wenn eventuelle Funde nicht direkt gelöscht werden sollen: msert.exe /N): https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/
- Am 15.03.2021 hat Microsoft unter dem zuvor genannten Link das Exchange On-Premises Mitigation Tool (EOMT) bereitgestellt, dass das o. g. MSERT enthält. Es dient nicht als Ersatz für die Sicherheitsupdates, kann jedoch bis zur Installation dieser zum Einsatz kommen. Auch die Suche nach Webshells und weiteren Infektionen ist weiter zwingend notwendig, sonst droht ein späteres Nachladen weiterer Schadprobleme (z. B. Ransomware).
- Microsoft IOC Feed: Microsoft veröffentlicht bekannte Hashes und maliziöse Dateipfade in einem eigenen Feed. Die Daten sind in JSON und CSV erhältlich: https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Sample%20Data/Feeds/MSTICIoCs-ExchangeServerVulerabilitiesDisclosedMarch2021.csv
- MISP: Organisationen, die in einem Malware Information Sharing Portal (MISP) Verbund angeschlossen sind, finden im MISP-Event “HAFNIUM – Mass attack on Microsoft Exchange Servers” (UUID: b7636c3e-a515-436b-a646-5ebd750df006) weitere Informationen.
- Sigma: Das Sigma Team hat eine Regel veröffentlicht, welche zur Detektion der Exchange Schwachstellen genutzt werden kann: sigma/web_exchange_exploitation_hafnium.yml at master · SigmaHQ/sigma · GitHub
- YARA: Siehe [Rot2021a], [Rot2021b] und [Rup2021]. Als Alternative können auch die Yara Scanner Thor Lite² (https://www.nextron-systems.com/thor-lite/) oder Loki (https://github.com/Neo23x0/Loki) genutzt werden
- CERT.LV Detektions-Skript für Webshells: Das lettische CERT hat ebenfalls ein eigenes Skript veröffentlicht, mit welchem nach Webshells im Kontext Hafnium gesucht werden kann: GitHub – cert-lv/exchange_webshell_detection: Detect webshells dropped on Microsoft Exchange servers exploited through “proxylogon” group of vulnerabilites (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)
1. Auslesen von E-Mails mittels CVE-2021-26855
Die Ausnutzung der o.a. Schwachstelle kann mittels Log-Einträgen nachvollzogen werden. Im Fall von Outlook
on the Web/Outlook Web App (OWA) nutzen die Täter POST-Anfragen auf statische Inhalte unter dem Pfad/owa/auth/Current/themes/resources
. Mit speziell präparierten SOAP-Payloads ist es den Tätern dann möglich, E-Mails ohne Authentifizierung zu exfiltrieren
2. Auffälligkeiten in den ECP Server Logs
Hinweise für die Ausnutzung der Remote Code Execution Schwachstelle können sich in den Exchange Control Panel (ECP) Server Logs befinden (in der Regel finden Sie die Logs unter <exchange install path>\Logging\ECP\Server\
), da die Ausnutzung im Kontext des Set-OabVirtualDirectory ExchangePowerShell cmdlet
stattzufinden scheint.
Es empfiehlt sich daher nach dem String S:CMD=Set-OabVirtualDirectory.ExternalUrl='"
zu suchen (Hinweis: Der
String könnte so oder so ähnlich aussehen). Insbesondere die Zeichenfolge „script
“ innerhalb eines solchen Log-Eintrags könnte auf die Ausnutzung der Schwachstelle CVE-2021-27065 hindeuten.
3. Suche nach Webshells
Ein typisches Vorgehen der Täter ist es, mit Ausnutzung der RCE-Schwachstelle eine Webshell auf dem Server zu
hinterlassen, um weitere Befehle auszuführen.
Wichtiger Hinweis
Sollten Sie bei den Analysen keine Webshells finden, so sollten Sie berücksichtigen, dass der Microsoft Defender
bzw. andere AV-Lösungen eventuelle Funde bereits gelöscht haben könnten. Überprüfen Sie daher auch die
zentralen Logs Ihres Virenscanners bzw. die Einträge in der Ereignisanzeige unter
Microsoft\Windows\Windows-Defender\Operational (zu finden unterhalb von Anwendungs- und
Dienstprotokoll in der Ereignisanzeige) auf Logeinträge mit den Event-IDs 1006 bzw. 1116.
Mindestens die folgenden Webshells wurden bereits im Zusammenhang mit der Ausnutzung der Exchange-Schwachstelle beobachtet:
- SIMPLESEESHARP
- SPORTSBALL
- China Chopper
- ASPXSPY
- reGeorg
Daher ist es sinnvoll, sowohl spezifisch als auch generisch nach Webshells zu suchen:
- Die YARA-Regeln unter [Rot2021b] helfen bei der Suche nach Webshells im Kontext Hafnium.
- Die YARA-Regeln unter [Rup2021] helfen bei der Suche nach generischen Webshells.
im Zusammenhang mit den Exchange Schwachstellen sind zudem ASPX-Dateien in den folgenden Verzeichnissen und Unterverzeichnissen [Vol2021] auffällig:
- inetpub\wwwroot\aspnet_client\
- \<exchange install path>\FrontEnd\HttpProxy\ecp\auth\ (lediglich TimeoutLogout.aspx ist legitim)
- \<exchange install path>\FrontEnd\HttpProxy\owa\auth\Current\
- \<exchange install path>\FrontEnd\HttpProxy\owa\auth\<Versionsnummer>\
Etwas aufwändiger ist die Suche in folgendem Verzeichnis, das bei einer Standard-Installation ASPX-Dateien enthält. Webshells können auch in diese legitimen Dateien eingefügt werden, indem eine einzige Zeile ergänzt wird.
- \<exchange install path>\FrontEnd\HttpProxy\owa\auth\ (Dateien, die nicht mehr dem Stand der Standard-Installation entsprechen)
Bei Internet Information Service (IIS)-Webservern werden ASP-Dateien zu temporären Bibliotheken kompiliert.
Die Dateien mit dem Namen app_web__[a-zA-Z0-9]{8}.dll können auch eine mögliche Webshell enthalten (siehe
nachfolgende YARA-Regel).