Verwundbarkeit von Microsoft Exchange Server: Detektionsleitfaden

Unsere Security-Experten haben aufgrund der aktuellen Situation einen Detektionsleitfaden zur Verwundbarkeit von Microsoft Exchange Server geschrieben.

REFERENZSTORY

Verwundbarkeit von Microsoft Exchange Server: Detektionsleitfaden

Die Security-Experten von Controlware haben aufgrund der aktuellen Situation einen Detektionsleitfaden zur Verwundbarkeit von Microsoft Exchange Server geschrieben. 

Durch vermehrte aufgetretene gezielte Attacken auf Exchange Server, hat Microsoft am 03. März außerplanmäßig wichtige Sicherheits-Updates für vier Schwachstellen in Exchange Server 2010 – 2019 bereitgestellt. Das war insofern ungewöhnlich, da Microsoft eigentlich Sicherheits-Updates nur einmal pro Monat veröffentlicht. Wenige Tage danach zeigt sich aber das wahre Ausmaß der Ausnutzung dieser Sicherheitslücken (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065).

Quelle: https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

Bei der Attribution hat sich das Microsoft Threat Intelligence Center (MSTIC) recht schnell, basierend auf Opferauswahl, Taktik und Vorgehensweise (TTPs) auf eine aus China operierende Gruppe namens Hafnium festgelegt. Wenige Tage vor der Veröffentlichung registrierten einige InfoSec Firmen eine Zunahme verdächtiger Webshells, die von Microsoft Exchange Servern ausgingen. Die Sicherheitslücken wurden also „lange“ vor der veröffentlichten Meldung von Microsoft schon aktiv ausgenutzt. In den Wochen kamen etliche Meldungen von erfolgreichen Kompromittierungen hinzu. Die Lage war so kritisch, dass das BSI folgende Aussage traf „Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrechterhalten werden“. Zu diesem Zeitpunkt (09.03) bestätigte das BSI bis zu 26.000 erfolgreiche Kompromittierungen alleine in Deutschland. Vor diesem Hintergrund hat das BSI die Bedrohungslage „ROT“ ausgerufen, was der höchsten Stufe entspricht und nur sehr selten vorkommt.

Die Gruppe (Hafnium) führte eine Reihe von Angriffen – unter Ausnutzung der bisher unbekannten Sicherheitslücken –, aus. Das Ziel waren On-Premises Exchange Server. Die Angriffe erfolgten in drei Phasen: Zunächst erlangten die Angreifer Zugriff auf die verwundbaren Mailserver – unter Ausnutzung der bisher unbekannten Sicherheitslücken. Im nächsten Schritt kreierten die Angreifer Webshells, um den Server „remote“ zu steuern. Im letzten Schritt, der Exfiltrationsphase, nutzen die Angreifer die erlangte Kontrolle um Daten aus den Opfer-Umgebungen abfließen zu lassen.

Die identifizierten Sicherheitslücken werden auf ungeschützten Exchange-Servern immer noch von diversen Angreifer-Gruppen ausgenutzt. Wir empfehlen dringend, den Empfehlungen des BSIs und Microsoft zu folgen.

Alle ausgeführten Angriffsaktionen, aus den genannten Phasen, hinterlassen potentiell Spuren auf den infizierten Systemen. Der Controlware Blog dient zur Unterstützung bei der Suche nach vorhandenen Indikatoren, die den Verdacht einer Kompromittierung und somit eines Security Incidents erhärten. Falls entsprechende Indikatoren (z.B. eine verdächtige Webshell wurde gefunden) existieren, sollte das Unternehmen unmittelbar in den Incident Response Modus wechseln. Nachstehend sind einige Analyse-Techniken beschrieben, um Erkenntnisse für ein aussagekräftiges Lagebild zu erlangen. Zu jedem Test stellen wir eine Beschreibung, Referenz sowie eine Beschreibung des Verdachtsmoments bereit. Außerdem haben wir für jeden Test eine Bewertung bei positivem Ergebnis definiert. Die Prioritäten sind „HOCH“ – bei einem positiven Ergebnis sollte umgehend ein Incident Response-Prozess eingeleitet werden. Zudem ist es ratsam, das System bei einem positiven Ergebnis der Stufe „MITTEL“ genauer zu analysieren.

 

Test 1: Ausnutzbarkeit der Schwachstelle verifizieren

Kurzbeschreibung

Microsoft hat ein Script bereitgestellt, mit dem für alle vier Sicherheitslücken überprüft werden kann, ob ein lokaler Exchange-Server betroffen ist.

Referenz

https://github.com/microsoft/CSS-Exchange/tree/main/Security#http-vuln-cve2021-26855nse

Verdachtsmoment

Die Ausgabe des Scripts enthält folgenden String
State: VULNERABLE  

Wenn ein System nicht verwundbar ist, dann gibt das Plugin auch keinen Output.

Benutzung des Scripts (via nmap):

Nmap –p <port> –script http-vuln-cve2021-26855.nse <target>
<port> Port des Webservice (z.B. 443)
<target> Exchange Webservice URL

Priorität: HOCH

 

Test 2: Suche nach verdächtigen Logins

Kurzbeschreibung

Das PowerShell-Skript Microsoft Test-ProxyLogon sucht nach Spuren in Exchange-Logs, Exchange-HttpProxy-Logs und Windows-Application-Event-Logs, die Angreifer bei einem erfolgreichen Angriff hinterlassen haben.

Referenz

https://github.com/microsoft/CSS-Exchange/blob/main/Security/Test-ProxyLogon.ps1

Verdachtsmomente

Die Script-Ausgabe erzeugt eine rote Warnung, z.B.  Suspicious Activity found

Priorität: MITTEL

 

Test 3: Validieren von Dateien in virtuellen Directories

Kurzbeschreibung

Dieses Skript bietet einen Mechanismus zur Erkennung bösartiger Dateien auf Exchange-Servern mit den Versionen E13, E16 oder E19.

Referenz

https://github.com/microsoft/CSS-Exchange/tree/main/Security#compareexchangehashesps1

Verdachtsmomente

Es wird ein Fehler in der CommandLine angezeigt, sobald eine verdächtige Datei existiert.

Priorität: MITTEL

 

Test 4:  Suche nach Webshells

Kurzbeschreibung

Das BSI beschreibt, in welchen Verzeichnissen nach verdächtigen Webshells gesucht werden sollte. Zusätzlich scannt Microsofts MSERT Tool Exchange Server nach verdächtigen Webshells.

Referenz
  1. https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download
  2. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Vorfaelle/Exchange-Schwachstellen-2021/MSExchange_Schwachstelle_Detektion_Reaktion.pdf
Verdachtsmomente:
  1. MSERT erkennt Webshells (1)
  2. ASPX-Dateien in den aufgelisteten Verzeichnissen vorhanden (2), Kapitel „Suche nach Webshells
Priorität: HOCH

 

Test 5: System auf verdächtige Prozesse prüfen

Kurzbeschreibung

Über die Sysinternals Tools und im speziellen über den Process Explorer können betroffene Systeme nach verdächtigen Prozessen untersucht werden.

Referenz

https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

Verdachtsmomente

Mindestens ein Kriterium erfüllt 

– Unpassendes Programm Icon
– Kein oder auffälliger Firmenname
– Unsigniert
– VirusTotal Score
– Verdächtige CommandLine
– Auffälliges Startverzeichnis

Priorität: HOCH

 

Test 6: System auf Malware Persistenz prüfen

Kurzbeschreibung:

Verdächtige Einträge im Autoruns Tool (Sysinternals) können ein Hinweis auf eine erfolgreiche Kompromittierung sein.

Referenz:

https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

Verdachtsmomente:

Verdächtige Einträge (vor allem unter Scheduled Task) 

– Eintrag z.B. gelb markiert
– auffälliger oder kein ImagePath
– auffälliges Command (z.B. PowerShell)

Priorität: HOCH

 

Test 7: System auf verdächtige Indikatoren prüfen

Kurzbeschreibung

LOKI, bereitgestellt als Open Source von Nextron Systems, ist ein IOC Scanner, der aktuelle IOCs automatisiert auf Systemen suchen und alarmieren kann.

Referenz

https://github.com/Neo23x0/Loki/releases

Verdachtsmomente

Webshell erkannt 

– Type: Alert
– Reason: Yara Rule
– Description: Webshell

Hinweis

– Am besten ein LOKI Release verwenden, was nicht BETA ist
– Enthält auch Hafnium YARA Rules (referenziert im BSI Papier)
– Alerts werden rot dargestellt
– Scan kann mehrere Stunden dauern

Das erzeugte Log heißt:

– loki_%COMPUTERNAME%_%DATETIME%.log
Log nach dem Stichwort „Alert“ durchsuchen, um weitere verdächtige Indikatoren zu finden

Priorität: HOCH

 

Test 8:  System auf verdächtige Powershell Download-Kommandos prüfen

Kurzbeschreibung

Die EventID 4104 liefert Erkenntnisse über ungewollte Downloads via Powershell.

Referenz

– Ereignisanzeige öffnen > Anwendungs- und Dienstprotokolle >Microsoft > PowerShell > Operational
– Auf der rechten Seite im Menü „Aktuelles Protokoll filtern“ > EventID 4104
– Auf der rechten Seite im Menü „Suchen“ > downloadstring

 Verdachtsmomente

Suche nach „downloadstring“ bringt Treffer

Priorität: HOCH

 

Test 9:  Suche nach verdächtigen User Agents (Proxy, Firewall)

Kurzbeschreibung

Bei den bisher analysierten Angriffen konnten besondere User Agents identifiziert werden.

Referenz

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Vorfaelle/Exchange-Schwachstellen-2021/MSExchange_Schwachstelle_Detektion_Reaktion.pdf

Verdachtsmomente

Die im Kapitel „Web Log User Agents“ aufgelisteten User Agents können ein weiterer Anhaltspunkt sein, falls diese in Proxy- oder Firewall Logs auftauchen.

Priorität: MITTEL

 

Fazit

Das Erheben der obigen Daten – erst im Verdachtsfall – kann wertvolle Zeit kosten, gerade in zeitkritischen Situationen, wie der aktuellen. Im Hinblick auf eine proaktive Incident Response „Practice“ ist es sinnvoll, die benötigten Telemetrie-Daten, wo es möglich ist, bereits im Vorfeld und kontinuierlich zu erheben. Dazu gehören außerdem regelmäßige Schwachstellen-Scans der Systeme sowie ein proaktives Threat Hunting.

Managed Security Services, wie die Controlware Managed Cyber Defense Services, sind eine gute Alternative. Sie ermöglichen – abhängig vom individuell gewählten Leistungsumfang – die Erkennung von Cybergefahren, Schwachstellen und Anomalien durch unterschiedliche Risiko-Erkennungsmodule in Verbindung mit Dienstleistungen zur Analyse, Bewertung und Priorisierung von Security Incidents. Besonderer Schwerpunkt ist unter anderem die ständige Beobachtung der weltweiten aktuellen Bedrohungslage, um Angriffsmuster zu verstehen und die Detektions-Mechanismen kontinuierlich anzupassen.

Das könnte Sie auch interessieren:

Sicher ist sicher: Cybergefahren mit Controlware Managed SIEM Services sicher erkennen

Klassische SIEM-Lösungen erkennen häufig nur Verstöße gegen Compliance-Richtlinien oder Auffälligkeiten in System-Protokollierungen und Logdaten. Wir gehen einen Schritt weiter und bieten mit unseren Cyber Use Cases eine sichere Erkennung von echten Cybergefahren.

Einführungs-Workshop SD-CAMPUS

Traditionelle Campus Netzwerke sind typischerweise von komplexen VLAN-Strukturen, zerklüfteten Netzwerkbereichen und getrennten Richtlinienverwaltungen für das LAN und WLAN geprägt. Veränderungen im Netzwerk werden zu 95% durch manuelle, CLI-basierte „hop-by-hop-Programmierung“ auf jedem einzelnen Gerät vorgenommen. Fehler sind dabei an der Tagesordnung und gefährden neben der Stabilität des Netzwerkes auch die Sicherheit der Unternehmensdaten. So werden beispielsweise … Einführungs-Workshop SD-CAMPUSweiterlesen

„Außergewöhnliches Engagement und hohe fachliche Kompetenz“

Auf der Fortinet Partner Sync 2018 wurde Controlware zum sechsten Mal als „Partner of the Year“ ausgezeichnet.

Auf der Fortinet- Award-Verleihung: (v.l.n.r.): Tommy Grosche (Director Channel Sales Germany bei Fortinet), Christian Vogt (Senior Regional Director Germany bei Fortinet), Manfred Rothkugel (Leiter Competence Center Security bei Controlware), Stefan Schmidt (Leiter der Controlware Geschäftsstelle West), Roland Schneider (Director Major Accounts Government, Education Healthcare Sales bei Fortinet) und Jan Reitler (Channel Manager bei Fortinet).