Die Security-Experten von Controlware haben aufgrund der aktuellen Situation einen Detektionsleitfaden zur Verwundbarkeit von Microsoft Exchange Server geschrieben. 

Durch vermehrte aufgetretene gezielte Attacken auf Exchange Server, hat Microsoft am 03. März außerplanmäßig wichtige Sicherheits-Updates für vier Schwachstellen in Exchange Server 2010 – 2019 bereitgestellt. Das war insofern ungewöhnlich, da Microsoft eigentlich Sicherheits-Updates nur einmal pro Monat veröffentlicht. Wenige Tage danach zeigt sich aber das wahre Ausmaß der Ausnutzung dieser Sicherheitslücken (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065).

Quelle: https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

Bei der Attribution hat sich das Microsoft Threat Intelligence Center (MSTIC) recht schnell, basierend auf Opferauswahl, Taktik und Vorgehensweise (TTPs) auf eine aus China operierende Gruppe namens Hafnium festgelegt. Wenige Tage vor der Veröffentlichung registrierten einige InfoSec Firmen eine Zunahme verdächtiger Webshells, die von Microsoft Exchange Servern ausgingen. Die Sicherheitslücken wurden also „lange“ vor der veröffentlichten Meldung von Microsoft schon aktiv ausgenutzt. In den Wochen kamen etliche Meldungen von erfolgreichen Kompromittierungen hinzu. Die Lage war so kritisch, dass das BSI folgende Aussage traf „Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrechterhalten werden“. Zu diesem Zeitpunkt (09.03) bestätigte das BSI bis zu 26.000 erfolgreiche Kompromittierungen alleine in Deutschland. Vor diesem Hintergrund hat das BSI die Bedrohungslage „ROT“ ausgerufen, was der höchsten Stufe entspricht und nur sehr selten vorkommt.

Die Gruppe (Hafnium) führte eine Reihe von Angriffen – unter Ausnutzung der bisher unbekannten Sicherheitslücken –, aus. Das Ziel waren On-Premises Exchange Server. Die Angriffe erfolgten in drei Phasen: Zunächst erlangten die Angreifer Zugriff auf die verwundbaren Mailserver – unter Ausnutzung der bisher unbekannten Sicherheitslücken. Im nächsten Schritt kreierten die Angreifer Webshells, um den Server „remote“ zu steuern. Im letzten Schritt, der Exfiltrationsphase, nutzen die Angreifer die erlangte Kontrolle um Daten aus den Opfer-Umgebungen abfließen zu lassen.

Die identifizierten Sicherheitslücken werden auf ungeschützten Exchange-Servern immer noch von diversen Angreifer-Gruppen ausgenutzt. Wir empfehlen dringend, den Empfehlungen des BSIs und Microsoft zu folgen.

Alle ausgeführten Angriffsaktionen, aus den genannten Phasen, hinterlassen potentiell Spuren auf den infizierten Systemen. Der Controlware Blog dient zur Unterstützung bei der Suche nach vorhandenen Indikatoren, die den Verdacht einer Kompromittierung und somit eines Security Incidents erhärten. Falls entsprechende Indikatoren (z.B. eine verdächtige Webshell wurde gefunden) existieren, sollte das Unternehmen unmittelbar in den Incident Response Modus wechseln. Nachstehend sind einige Analyse-Techniken beschrieben, um Erkenntnisse für ein aussagekräftiges Lagebild zu erlangen. Zu jedem Test stellen wir eine Beschreibung, Referenz sowie eine Beschreibung des Verdachtsmoments bereit. Außerdem haben wir für jeden Test eine Bewertung bei positivem Ergebnis definiert. Die Prioritäten sind „HOCH“ – bei einem positiven Ergebnis sollte umgehend ein Incident Response-Prozess eingeleitet werden. Zudem ist es ratsam, das System bei einem positiven Ergebnis der Stufe „MITTEL“ genauer zu analysieren.

Test 1: Ausnutzbarkeit der Schwachstelle verifizieren

Kurzbeschreibung

Microsoft hat ein Script bereitgestellt, mit dem für alle vier Sicherheitslücken überprüft werden kann, ob ein lokaler Exchange-Server betroffen ist.

Referenz

https://github.com/microsoft/CSS-Exchange/tree/main/Security#http-vuln-cve2021-26855nse

Verdachtsmoment

Die Ausgabe des Scripts enthält folgenden String
State: VULNERABLE  

Wenn ein System nicht verwundbar ist, dann gibt das Plugin auch keinen Output.

Benutzung des Scripts (via nmap):

Nmap –p <port> –script http-vuln-cve2021-26855.nse <target>
<port> Port des Webservice (z.B. 443)
<target> Exchange Webservice URL

Priorität: HOCH

Test 2: Suche nach verdächtigen Logins

Kurzbeschreibung

Das PowerShell-Skript Microsoft Test-ProxyLogon sucht nach Spuren in Exchange-Logs, Exchange-HttpProxy-Logs und Windows-Application-Event-Logs, die Angreifer bei einem erfolgreichen Angriff hinterlassen haben.

Referenz

https://github.com/microsoft/CSS-Exchange/blob/main/Security/Test-ProxyLogon.ps1

Verdachtsmomente

Die Script-Ausgabe erzeugt eine rote Warnung, z.B.  Suspicious Activity found

Priorität: MITTEL

Test 3: Validieren von Dateien in virtuellen Directories

Kurzbeschreibung

Dieses Skript bietet einen Mechanismus zur Erkennung bösartiger Dateien auf Exchange-Servern mit den Versionen E13, E16 oder E19.

Referenz

https://github.com/microsoft/CSS-Exchange/tree/main/Security#compareexchangehashesps1

Verdachtsmomente

Es wird ein Fehler in der CommandLine angezeigt, sobald eine verdächtige Datei existiert.

Priorität: MITTEL

Test 4:  Suche nach Webshells

Kurzbeschreibung

Das BSI beschreibt, in welchen Verzeichnissen nach verdächtigen Webshells gesucht werden sollte. Zusätzlich scannt Microsofts MSERT Tool Exchange Server nach verdächtigen Webshells.

Referenz

1. https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download
2. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Vorfaelle/Exchange-Schwachstellen-2021/MSExchange_Schwachstelle_Detektion_Reaktion.pdf

Verdachtsmomente:

1. MSERT erkennt Webshells (1)
2. ASPX-Dateien in den aufgelisteten Verzeichnissen vorhanden (2), Kapitel „Suche nach Webshells„

Priorität: HOCH

Test 5: System auf verdächtige Prozesse prüfen

Kurzbeschreibung

Über die Sysinternals Tools und im speziellen über den Process Explorer können betroffene Systeme nach verdächtigen Prozessen untersucht werden.

Referenz

https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

Verdachtsmomente

Mindestens ein Kriterium erfüllt 

– Unpassendes Programm Icon
– Kein oder auffälliger Firmenname
– Unsigniert
– VirusTotal Score
– Verdächtige CommandLine
– Auffälliges Startverzeichnis

Priorität: HOCH

Test 6: System auf Malware Persistenz prüfen

Kurzbeschreibung:

Verdächtige Einträge im Autoruns Tool (Sysinternals) können ein Hinweis auf eine erfolgreiche Kompromittierung sein.

Referenz:

https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

Verdachtsmomente:

Verdächtige Einträge (vor allem unter Scheduled Task) 

– Eintrag z.B. gelb markiert
– auffälliger oder kein ImagePath
– auffälliges Command (z.B. PowerShell)

Priorität: HOCH

Test 7: System auf verdächtige Indikatoren prüfen

Kurzbeschreibung

LOKI, bereitgestellt als Open Source von Nextron Systems, ist ein IOC Scanner, der aktuelle IOCs automatisiert auf Systemen suchen und alarmieren kann.

Referenz

https://github.com/Neo23x0/Loki/releases

Verdachtsmomente

Webshell erkannt 

– Type: Alert
– Reason: Yara Rule
– Description: Webshell

Hinweis

– Am besten ein LOKI Release verwenden, was nicht BETA ist
– Enthält auch Hafnium YARA Rules (referenziert im BSI Papier)
– Alerts werden rot dargestellt
– Scan kann mehrere Stunden dauern

Das erzeugte Log heißt:

– loki_%COMPUTERNAME%_%DATETIME%.log
– Log nach dem Stichwort „Alert“ durchsuchen, um weitere verdächtige Indikatoren zu finden

Priorität: HOCH

Test 8:  System auf verdächtige Powershell Download-Kommandos prüfen

Kurzbeschreibung

Die EventID 4104 liefert Erkenntnisse über ungewollte Downloads via Powershell.

Referenz

– Ereignisanzeige öffnen > Anwendungs- und Dienstprotokolle >Microsoft > PowerShell > Operational
– Auf der rechten Seite im Menü „Aktuelles Protokoll filtern“ > EventID 4104
– Auf der rechten Seite im Menü „Suchen“ > downloadstring

 Verdachtsmomente

Suche nach „downloadstring“ bringt Treffer

Priorität: HOCH

Test 9:  Suche nach verdächtigen User Agents (Proxy, Firewall)

Kurzbeschreibung

Bei den bisher analysierten Angriffen konnten besondere User Agents identifiziert werden.

Referenz

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Vorfaelle/Exchange-Schwachstellen-2021/MSExchange_Schwachstelle_Detektion_Reaktion.pdf

Verdachtsmomente

Die im Kapitel „Web Log User Agents“ aufgelisteten User Agents können ein weiterer Anhaltspunkt sein, falls diese in Proxy- oder Firewall Logs auftauchen.

Priorität: MITTEL

Fazit

Das Erheben der obigen Daten – erst im Verdachtsfall – kann wertvolle Zeit kosten, gerade in zeitkritischen Situationen, wie der aktuellen. Im Hinblick auf eine proaktive Incident Response „Practice“ ist es sinnvoll, die benötigten Telemetrie-Daten, wo es möglich ist, bereits im Vorfeld und kontinuierlich zu erheben. Dazu gehören außerdem regelmäßige Schwachstellen-Scans der Systeme sowie ein proaktives Threat Hunting.

Managed Security Services, wie die Controlware Managed Cyber Defense Services, sind eine gute Alternative. Sie ermöglichen – abhängig vom individuell gewählten Leistungsumfang – die Erkennung von Cybergefahren, Schwachstellen und Anomalien durch unterschiedliche Risiko-Erkennungsmodule in Verbindung mit Dienstleistungen zur Analyse, Bewertung und Priorisierung von Security Incidents. Besonderer Schwerpunkt ist unter anderem die ständige Beobachtung der weltweiten aktuellen Bedrohungslage, um Angriffsmuster zu verstehen und die Detektions-Mechanismen kontinuierlich anzupassen.