Am 3. März hat Microsoft offiziell über vier schwerwiegende Lücken in den Exchange Versionen 2013, 2016 und 2019 informiert. Die Lücke wurde von einer Hackergruppe, die „Hafnium“ genannt wird, entdeckt. Hafnium operiert sehr versiert aus China, sodass bereits mehrere Unternehmen in kürzester Zeit betroffen sind.
Die Hafnium Lücken in den Exchange Versionen sind unter folgenden CVEs ersichtlich: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065.
Kurzbeschreibung der CVEs
CVE-2021-26855 is a server-side request forgery (SSRF) vulnerability in Exchange which allowed the attacker to send arbitrary HTTP requests and authenticate as the Exchange server.
CVE-2021-26857 is an insecure deserialization vulnerability in the Unified Messaging service. Insecure deserialization is where untrusted user-controllable data is deserialized by a program. Exploiting this vulnerability gave HAF-NIUM the ability to run code as SYSTEM on the Exchange server. This requires administrator permission or another vulnerability to exploit.
CVE-2021-26858 is a post-authentication arbitrary file write vulnerability in Exchange. If HAFNIUM could authenticate with the Exchange server then they could use this vulnerability to write a file to any path on the server. They could authenticate by exploiting the CVE-2021-26855 SSRF vulnerability or by compromising a legitimate admin’s credentials.
CVE-2021-27065 is a post-authentication arbitrary file write vulnerability in Exchange. If HAFNIUM could authenticate with the Exchange server then they could use this vulnerability to write a file to any path on the server. They could authenticate by exploiting the CVE-2021-26855 SSRF vulnerability or by compromising a legitimate admin’s credentials.
Diese werden gemäss verschiedenen Institutionen aktiv ausgenutzt. Weiter ist POC-Code zur Nutzung der Lücke der Öffentlichkeit unschwer zugänglich! Daher ist ein korrektes Vorgehen unabdingbar. Wir empfehlen folgende Schritte:
1.Patching / Mitigation oder Offline
Die am 3.3.2021 veröffentlichten Patches von Microsoft sollten per sofort eingespielt werden. Wenn auf Ihrem Exchange Server noch kein aktuelles CU installiert ist, muss zuerst dieses installiert und anschliessend der Patch appliziert werden. Falls dies aus etwaigen Gründen nicht möglich ist, sollte entweder der Exchange Server vom Internet getrennt oder das Script «ExchangeMitigations.ps1» ausgeführt werden.
2. Analyse
Da die Lücke schon länger bekannt ist und Angriffe bereits sehr früh erfolgt sind, kann auch bei sofortiger Aktualisierung oder Mitigation nicht ausgeschlossen werden, dass Ihr System bereits kompromittiert wurde. Um dies visibler zu machen gibt es verschiedene Möglichkeiten. Hier eine nicht abschliessende Auflistung:
1. Durchforsten Sie alle Exchange Logs auf den Exchange Servern ihrer Umgebung, um allfällige Auffälligkeiten festzustellen. Hierfür wurde von Microsoft ein Script veröffentlicht: «Test-ProxyLogon.ps1».Dieses kann gemäss Test-ProxyLogon Anleitung unten ausgeführt werden. Falls das Script Auffälligkeiten meldet, sollten diese genauestens geprüft werden.
2. Führen Sie auf den Systemen einen Scan nach potenziellen Bedrohungen durch. Microsoft empfiehlt hier den «Microsoft Safety Scanner». Sie können entweder einen Custom Scan mit allen Exchange und IIS Verzeichnissen durchführen oder einen kompletten Systemscan. Achtung dies führt zu erhöhter Systemlast! Andere Malware Scanner können nach Belieben hinzugefügt werden.
3. Prüfen nach indicators of compromise (IOCs)
Microsoft hat eine Liste mit Pfaden und Hashes veröffentlich, welche bei Kunden im Zuge dieses Angriffs kompromittiert wurden.
Prüfen Sie die erwähnten Pfade auf Auffälligkeiten. Bspw. Änderungsdaten, Erstellungsdaten, Namen, etc. Typischerweise werden IIS Konfigurationen, Task Scheduler, Startup Scripts oder andere Binaries kompromittiert. Prüfen Sie das System auf allgemeingültige Anomalien.
3. Action Plan
Falls im Rahmen der Analyse Auffälligkeiten gefunden wurden, muss festgelegt werden, wie mit dem System weiter verfahren wird. Aufgrund der Schwere der Hafnium Lücke muss hier individuell entschieden werden. Die Massnahmen reichen von kompletter Neuninstallation (Greenfield ohne Migration) bis zum Akzeptieren des Risikos (nicht empfohlen). Für eine Zweitmeinung können Sie gerne ihren Ansprechpartner bei der Leuchter IT Solutions AG kontaktieren.
4. Monitoring
Auch wenn keine Auffälligkeiten entdeckt wurden oder das System soweit wie möglich gesäubert werden konnte, besteht ein Restrisiko einer «schlafenden» Malware. Um solche Malware zu erkennen, und da heutige Angriffe (bspw. Solarwinds) immer ausgeklügelter werden, empfehlen wir ihnen eine weitere Erkennungsschicht einzurichten. Hierbei verweisen wir gerne auf den Cloud gepowerten Defender Service.
5. Kontaktieren Sie uns!
Falls wir sie in irgendeinem Schritt zur Beseitigung der Hafnium Risiken unterstützen können, stehen wir Ihnen gerne zur Verfügung:
E-Mail: servicedesk@leuchterag.ch
Tel: +41 41 226 50 47
Test-ProxyLogon Anleitung
Arbeitsschritte:
- Als Exchange-Administrator auf Server anmelden
- Script TestProxylogon.ps1 herunterladen und in ein beliebiges Verzeichnis abspeichern.
- Exchange Management Shell als Administrator starten.
- Abwarten, bis die Management Shell fertig geladen hat. Dann wechseln sie in das Verzeichnis mit dem abgelegten PowerShell Script.
- Folgender Befehl muss ausgeführt werden:
Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs
Hiermit werden gleiche alle Exchange Server in Ihrer Organisation ausgewertet. - Falls WinRM in Ihrer Organisation nicht eingerichtet ist, können Sie den Befehl:
.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs
ausführen. - Das Script analysiert Log Files auf Ihrem Exchange Server und prüft, ob Auffälligkeiten zu finden sind. Falls etwas gefunden wurde, wird das im PowerShell Fenster visualisiert.
- Auf dem Desktop befindet sich ein Ordner mit den detaillierten Logs. Sie können diesen gerne an
servicedesk@leuchterag.ch für die Analyse senden oder selber Massnahmen ergreifen.
