Zum Hauptinhalt springen Zur Suche springen Zur Hauptnavigation springen

Microsoft Exchange - doppelter Zero-Day gemeldet

Am Freitag, den 30. September 2022 sind zwei Zero-Day-Sicherheitslücken in Microsoft Exchange bekannt geworden. Diese können miteinander verkettet werden. Dabei wird die erste Lücke genutzt, um genug Freiraum zu schaffen, damit die zweite ausgenutzt werden kann. Als Folge daraus ist es Angreifern potentiell möglich, eine Remote-Code-Execution auf dem Exchange Server auszuführen.

Microsoft hat auf die Schnelle eine offizielle Anleitung über diese Schwachstellen herausgegeben, welche die Situation wie folgt zusammenfasst:

  • Microsoft untersucht derzeit zwei berichtete Zero-Day-Schwachstellen, welche Microsoft Exchange Server 2013, 2016 und 2019 betreffen.
  • Bei der ersten Schwachstelle, CVE-2022-41040, handelt es sich um eine Server-Side Request Forgery (SSRF) Schwachstelle.
  • Die zweite Schwachstelle, CVE-2022-41082, erlaubt Remote Code Execution (RCE), wenn Power Shell für den Angreifer zugänglich ist.
  • Zum jetzigen Zeitpunkt ist Microsoft bekannt, das einige gezielte Angriffe mithilfe dieser zwei Schwachstellen durchgeführt wurden, um in die Systeme von Anwendern zu gelangen. In diesen Angriffen kann CVE-2022-41040 von einem authentifizierten Angreifer genutzt werden, um aus der Ferne CVE-2022-41082 auszunutzen. Für eine Ausnutzung der Schwachstellen ist authentifizierter Zugang zu dem anfälligen Microsoft Exchange Server erforderlich.

 

So schlecht diese Nachricht sein mag, gibt es zumindest zwei Hoffnungsschimmer:

Der Fehler kann nicht von jedem ausgelöst werden. Jeder Remote User der sich bereits über das Internet eingeloggt hat und dessen Computer bereits mit Malware infiziert ist, kann in der Theorie seinen Account durch einen Angreifer kompromittiert bekommen,  um diese Schwachstellen auszunutzen. Den Exchange allerdings nur über das Internet verfügbar zu haben, ist nicht genug, um als Angriffsziel zu dienen, da eine sogenannte Unauthenticated Invocation der Schwachstellen nicht möglich ist.

Blockieren von PowerShell Remoting schränkt die Attacken ein. Microsoft zufolge kann das Blockieren der TCP Ports 5985 und 5986 auf dem Exchange Server die Angreifer bei der Verkettung der ersten Schwachstelle mit der Zweiten einschränken (aber das Verhalten nicht unterbinden). Obwohl Angriffe ohne PowerShell Kommandos denkbar sind, scheinen die bisherigen Berichte darauf hinzudeuten, das PowerShell ausführen ein notwendiger Teil des Angriffs ist. 

Erinnerungen an ProxyShell

Wenn Sie dieser Angriff an die ProxyShell Schwachstelle vom letzten Jahr erinnert, so sind Sie mit diesem Gedanken nicht allein. Die GTSC, die vietnamnesische Cybersecurity-Firma, welche die Schwachstellen zuerst untersucht und gemeldet hat, sprach davon das Forscher Exploit Anfragen in IIS Logs entdeckt haben, welche das selbe Format haben, wie die ProxyShell Schwachstelle. Beachtenswert ist, dass die Art von Threat-Hunting Query welche Sophos empfohlen hat um ProxyShell Exploit Anzeichen zu finden auch für diese neuen Zero-Days eingesetzt werden kan. 

               SELECT grep.*

               FROM file

               CROSS JOIN grep ON (grep.path = file.path)

               WHERE

               file.path LIKE `C:\inetpub\logs\LogFiles\W3SVC%\u_ex210[89]%`

               AND grep.pattern = `autodiscover.json`

Microsoft merkt ebenfalls an, dass "(die Erkennung, die wir) in Reaktion zu ProxyShell erstellt haben, kann auch für Anfragen genutzt werden, da es Ähnlichkeiten in der Funktion mit dieser Bedrohung gibt." Derzeit ist allerdings nicht bekannt, ob ein Ausnutzen der Schwachstelle möglich ist, ohne diese speziellen Überbleibsel in den Logs zu hinterlassen. Anders gesagt: Finden Sie Anzeichen ähnlich denen, die von PowerShell Exploits hinterlassen werden, dann haben Sie wahrscheinlich Beweise, dass ein Angriff stattgefunden hat, ein Fehlen dieser Anzeichen muss jedoch nicht heißen, dass kein Angriff stattgefunden hat. In den untersuchten Angriffen nutzten die Angreifer ihre unauthorisierten RCE-Möglichkeiten, der GTSC zufolge, um eine ganze Reihe an Follow-on-Malware einzuschleusen und auszuführen.

Unter anderem:

Webshells um ein Web-basiertes Backdoor für späteren Gebrauch zu erzeugen: Webshells erlauben typischerweise Nachfolgeangriffe um beliebige Systembefehle mit beliebigen Parametern so aussehen zu lassen wie reguläre HTTP-Anfragen. Die Webshell führt im Anschluss den gewünschten Befehl mit den Rechten des Webservers selbst aus.

Malware zum Dumpen von Anmeldeinformation: Software zum Stehlen von Zugangsdaten sucht typischerweise auf der Disk und im Arbeitsspeicher (bei ausreichenden Rechten) nach Klartext-Passwörtern, Sitzungs-Cookies und Authentifizierungstokens, welche für Lateral Movement auf andere Computer im Netzwerk genutzt werden könnten.

Zombie Malware in der Form von DLLs die in legitim-aussehende Prozesse geladen werden: Eine DLL-Probe die GTSC-Forscher analysiert haben, konnte aus der Ferne mit verschlüsselten Instruktionen versorgt werden um Systeminformationen zu dumpen, beliebige Befehle auszuführen C# Module zu starten und Dateien und Ordner auf dem infizierten System zu verändern. 

Was können Sie tun?

So können Sie das Schadenspotenzial geringhalten:

Blocken Sie PowerShell Remoting um das Risiko von RCE zu reduzieren. Wie bereits erwähnt, das Blockieren von TCP-Ports 5985 und 5986 limitiert die möglichen Angriffsmuster gegen Ihren Exchange Server, laut Aussagen von Microsoft.

Nutzen Sie eine URL Rewrite Rule, um unbekannte Angriffsauslöser zu blockieren. GTSC und Microsoft bieten Erklärungen, wie IIS Server URL Rewriting genutzt werden kann, um die häufigsten Formen dieser Angriffe zu erkennen und zu neutralisieren.

Stellen Sie sicher, dass die verhaltensbasierte Endpoint Threat Detection ativiert ist, auch auf Servern. Wie oben bereits erwähnt, berichtet GTSC, dass Angriffe WebShells und Malware DLLs einschleusen, mit deren Hilfe beliebige Befehle, ausgeführt, Dateien manpuliert und Systeminformationen extrahiert werden können. Dadurch erhalten Sie allerdings zahlreiche potenzielle Anhaltspunkte für Detection-and-Response, um einen erfolgten Angriff zu unterbinden.

Ziehen Sie in Betracht, Ihre eingeloggten Email-Benutzer zu deauthentifizieren. Sind Sie in der Lage eine Endpoint-Sicherheitsanalyse auf jedem Gerät durchzuführen, bevor sich die Benutzer reauthentifizieren, minimieren (aber nicht eliminieren) Sie das Risiko, dass bereits infizierte Geräte für die Ausnutzung dieser Schwachstellen missbraucht werden. Zusätzlich reduzieren Sie die Angriffsfläche, wenn Sie Benutzer, die nicht eingeloogt sein müssen, oder nicht einmal wissen, dass Sie eingeloggt sind, einfach deauthentifizieren.

Spielen Sie verfügbare Patches so zeitnah wie möglich ein. Bis jetzt wurde nur eine begrenzte Zahl an Angriffen erfasst, davon die meisten in Südost-Asien und die GTSC hält bewusst Informationen zu den Schwachstellen zurück, bis entsprechende Patches verfügbar sind.

Behalten Sie im Hinterkopf, dass Angreifer mithilfe der Patches Rückschlüsse auf den Exploit ziehen können, um Ziele, die die Patches nicht eingespielt haben, attackieren zu können.

Zusammengefasst:

Die Tipps und Techniken, die Sie zum Aufspüren von ProxyShell-Angriffen gelernt haben, werden ihnen auch hier sehr wahrscheinlich eine Hilfe sein.

Trotz der Ähnlichkeiten handelt es sich bei diesen Schwachstellen NICHT um ProxyShell, die ProxyShell-Patches werden Angriffe gegen diese Schwachstellen also nicht unterbinden.

Wenn die Patches für diese Schwachstellen veröffentlicht werden, gehen Sie davon aus, dass diese reverse-engineered werden, um ungepatchte Systeme anzugreifen.

Als unser Kunde stehen wir Ihnen sehr gerne für Fragen rund um Sophos zur Verfügung. Da wir auf Sophos spezialisiert sind, können wir ggf. noch offene Rückfragen mit Sicherheit gut beantworten. Bitte zögern Sie nicht, uns zu kontaktieren ([email protected] - 0351-81077-50), wir freuen uns auf die weitere Zusammenarbeit mit Ihnen. Sollten Sie Hilfe benötigen, können Sie gern ein Ticket in unserem Support Portal https://support.utm-shop.de/ erstellen.

Produktgalerie überspringen

Zugehörige Produkte

Sophos Central Intercept X Advanced für Server
Unbekannte Bedrohungen blockieren Intercept X for Server ermöglicht dies mit Deep Learning, einer Sonderform des Machine Learning, das bekannte und unbekannte Malware ohne Signaturen erkennen kann. Deep Learning macht Intercept X for Server intelligenter, skalierbarer und effektiver im Kampf gegen völlig unbekannte Bedrohungen. Deep Learning macht Intercept X for Server leistungsstärker als Security-Lösungen, die sich allein auf herkömmliches Machine Learning oder eine signaturbasierte Erkennung verlassen. Ransomware im Keim ersticken Die Anti-Ransomware-Funktionen von Intercept X for Server erkennen schädliche Verschlüsselungsprozesse und stoppen diese, bevor sie sich im Netzwerk ausbreiten können. Sowohl dateibasierte als auch MBR(Master-Boot-Record)-Ransomware werden zuverlässig abgewehrt. Alle verschlüsselten Dateien werden in einen sicheren Zustand zurückversetzt, damit Ihre Mitarbeiter ohne Unterbrechung weiterarbeiten können und Ihre Geschäftskontinuität gewährleistet bleibt. Nach der Bereinigung erhalten Sie detaillierte Informationen, sodass Sie sehen können, wie die Bedrohung sich Zugriff verschafft hat, welche Bereiche betroffen waren und wann die Bedrohung beseitigt wurde. Sie möchten Sophos Central gerne sehen? Dann schauen Sie sich die Live Demo von Sophos Central hier an. Email: [email protected] PW: [email protected] FunktionenIntercept X Essentials for ServerIntercept X Advanced for ServerIntercept X Advanced for Server with XDRIntercept X Advanced for Server with MTR StandardIntercept X Advanced for Server with MTR Advanced Verwaltung Mehrere Richtlinien           Gesteuerte Updates           Reduzierung der Angriffsfläche Application Control           Peripheral Control           Web Control/Kategoriebasierte URL-Blockierung           Application Whitelisting (Server Lockdown)           Download Reputation           Web Security           Vor Ausführung auf einem Gerät Deep-Learning-Malware-Erkennung           Anti-Malware-Dateiscans           Live Protection           Verhaltensanalysen vor Ausführung (HIPS)           Blockierung pot. unerwünschter Anwendungen (PUAs)           Intrusion Prevention System (IPS)           Stoppen von Bedrohungen bei Ausführung Data Loss Prevention           Laufzeit-Verhaltensanalyse (HIPS)           Antimalware Scan Interface (AMSI)           Malicious Traffic Detection (MTD)           Exploit Prevention           Active Adversary Mitigations           Ransomware File Protection (CryptoGuard)           Disk and Boot Record Protection (WipeGuard)           Man-in-the-Browser Protection (Safe Browsing)           Enhanced Application Lockdown           Erkennung Live Discover (umgebungsübergreifende SQL-Abfragen zum Threat Hunting und zur Einhaltung von Sicherheitsvorgaben)           SQL-Abfragen-Library (vorformulierte, individuell anpassbare Abfragen)           Datenspeicherung auf Festplatte (bis zu 90 Tage) mit schnellem Datenzugriff           Produktübergreifende Datenquellen (z. B. Firewall, E-Mail)           Liste mit nach Priorität geordneten Erkennungen           Sophos Data Lake (Cloud-Datenspeicher)     30 Tage 30 Tage 30 Tage Geplante Abfragen           Analyse Bedrohungsfälle (Ursachenanalyse)           Deep Learning-Malware-Analyse           Erweiterte Bedrohungsdaten aus den SophosLabs auf Abruf           Export forensischer Daten           KI-gesteuerte Analysen           Bereinigung Automatisierte Malware-Entfernung           Synchronized Security Heartbeat           Sophos Clean           Live Response (Remote-Terminal-Zugriff für weitere Analysen und Reaktionsmaßnahmen)           On-Demand-Server-Isolation           Mit einem Klick „Entfernen und blockieren“           Transparenz Cloud Workload Protection (Amazon Web Services, Microsoft Azure, Google Cloud Platform)           Synchronized Application Control (Transparenz über Anwendungen)           Verwaltung Ihres Sicherheitsstatus in der Cloud (Cloud Hosts überwachen und schützen, serverlose Funktionen, S3-Buckets etc.)           Laufzeitbasierte Container-Transparenz und -Erkennungen           Zugriff/Berechtigung Update Cache und Message Relay           Automatische Scan-Ausnahmen           File Integrity Monitoring           Managed Service 24/7 indizienbasiertes Threat Hunting           Security Health Checks           Datenspeicherung           Aktivitätsreports           Angriffserkennung           Beseitigung von Bedrohungen und Bereinigung           24/7 indizienloses Threat Hunting           Threat Response Team Lead           Direkter Telefon-Support           Proaktives Security Posture Management           Ransomware File Protection (CryptoGuard)          
97,93 €*
Sophos Central Intercept X Advanced (Endpoint Protection & Intercept X)
Hocheffektiv durch neuronale Deep-Learning-Netzwerke Wehren Sie mehr Endpoint-Bedrohungen ab als je zuvor. Intercept X ermöglicht dies mit Deep Learning, einer Sonderform des Machine Learning, das bekannte und unbekannte Malware ohne Signaturen erkennen kann. Deep Learning macht Intercept X intelligenter, skalierbarer und effektiver im Kampf gegen völlig unbekannte Bedrohungen. Deep Learning macht Intercept X leistungsstärker als Endpoint-Security-Lösungen, die sich allein auf herkömmliches Machine Learning oder eine signaturbasierte Erkennung verlassen. Ransomware im Keim ersticken Blockieren Sie Ransomware-Angriffe, bevor sie in Ihrem Unternehmen ernsthaften Schaden anrichten können. Mit der Anti-Ransomware-Technologie von Intercept X erkennen Sie schädliche Verschlüsselungsprozesse und stoppen diese, bevor sie sich im Netzwerk ausbreiten können. Sowohl dateibasierte als auch Master-Boot-Record-Ransomware werden zuverlässig abgewehrt. Alle bereits verschlüsselten Dateien werden in einen sicheren Zustand zurückversetzt, damit Ihre Mitarbeiter ohne Unterbrechungen weiterarbeiten können und Ihre Geschäftskontinuität gewährleistet bleibt. Nach der Bereinigung erhalten Sie detaillierte Informationen, sodass Sie sehen können, wie die Bedrohung sich Zugriff verschafft hat, welche Bereiche betroffen waren und wann die Bedrohung blockiert wurde. Sie möchten Sophos Central gerne sehen? Dann schauen Sie sich die Live Demo von Sophos Central hier an. Email: [email protected] PW: [email protected] FunktionenSophos Intercept X AdvancedIntercept X Advanced with XDR Basis-Schutz (u. a. Application Control und Verhaltenserkennung)     Next-Gen-Schutz (u. a. Deep Learning, Anti-Ransomware und Schutz vor dateilosen Angriffen)     EDR & XDR (Extended Detection and Response)     Funktionen von Intercept X Endpoint Anti-Ransomware Schützt Dateien vor Ransomware, stellt Dateien automatisch wieder her und stoppt Ransomware und Boot-Record-Angriffe mittels Verhaltensanalysen. Active Adversary Mitigations Active Adversary Mitigation verhindert Persistenz auf Systemen, Credential Theft Protection schützt vor Diebstahl von Zugangsdaten und Malicious Traffic Detection erkennt schädlichen Datenverkehr. Deep-Learning-Technologie In Intercept X integrierte künstliche Intelligenz erkennt bekannte und unbekannte Malware ganz ohne Signaturen.  Central Management Verwalten Sie Ihre Endpoint Protection, EDR, XDR und andere Sophos-Lösungen über eine zentrale Konsole. Exploit Prevention Blockiert Exploits und Techniken, die zur Verbreitung von Malware, zum Diebstahl von Zugangsdaten und zur Verschleierung von Angriffen eingesetzt werden. Synchronized Security Sophos-Lösungen tauschen automatisch Daten aus und ergreifen Reaktionsmaßnahmen. Sophos EndpointCENTRAL Intercept X AdvancedCENTRALIntercept X Advanced mit XDRCENTRALIntercept X Advanced mit MDR Complete  REDUKTION DER ANGRIFFSFLÄCHE Web Protection           Web Control/Kategoriebasierte URL-Filterung           Download Reputation         Application Control           Peripheriekontrolle           Data Loss Prevention         Server Lockdown (Application Whitelisting)         Festplattenverschlüsselung Add-on Add-on Add-on     BEDROHUNGSABWEHR Ransomware File Protection (CryptoGuard)           Schutz vor Remote-Ransomware (CryptoGuard)         Schutz des Master Boot Record (MBR) vor Ransomware         Kontextsensitive Abwehrmaßnahmen: Adaptive Attack Protection         Kontextsensitive Abwehrmaßnahmen: Umgebungsweite Critical Attack Warnings         KI-gestützter Malware-Schutz auf Basis von Deep Learning           Dateiüberprüfungen auf Malware             Blockierung pot. unerwünschter Anwendungen (PUA)             Live Protection Cloud-Lookups             Verhaltensanalyse           Anti-Exploit (mehr als 60 Abwehrfunktionen)         Application Lockdown         Anti-Malware Scan Interface (AMSI)         Malicious Traffic Detection           Intrusion Prevention System (IPS)         File Integrity Monitoring (Server)           Sophos Extended Detection and Response (XDR)CENTRAL Intercept X AdvancedCENTRALIntercept X Advanced mit XDRCENTRALIntercept X Advanced mit MDR Complete  Umfangreiche Daten auf dem Gerät und in der Cloud -       Speicherung von Cloud-Daten - 90 Tage 90 Tage       Zusätzlicher Cloud-Speicher erhältlich - 1 Jahr (Add-on) 1 Jahr (Add-on)       Umfangreiche Daten auf dem Gerät für aktuelle Einblicke -       Kompatibel mit Lösungen von anderen Anbietern als Sophos -       ERKENNUNG Erkennung verdächtiger Ereignisse -       KI-basierte Priorisierung von Erkennungen -         Automatische Zuordnungen zum MITRE Framework -         Linux-Container-Verhaltens- und Exploit-Erkennungen -       Produktübergreifende Ereigniskorrelierung und -analyse -       ANALYSE RCA-Bedrohungsgraphen           Automatische und manuelle Fallerstellung -         Live-Discover-Abfragetool -           Geplante Abfragen -           Einfache Suche ohne SQL -           Export forensischer Daten -       Bedrohungsdaten von Sophos X-Ops auf Abruf -       REAKTION Automatische Malware-Bereinigung             Automatische Zurücksetzung von Dateiverschlüsselungen durch Ransomware           Automatische Prozessbeendigung           Synchronized Security: Automatische Geräte-Isolation über die Sophos Firewall           On-Demand-Geräte-Isolation -         Live Response Remote-Terminal-Zugriff -             Sophos Managed Detection and Response (MDR)CENTRAL Intercept X AdvancedCENTRALIntercept X Advanced mit XDRCENTRALIntercept X Advanced mit MDR Complete  24/7 Threat Monitoring und Reaktion - -     Wöchentliche und monatliche Reports - -     Integritätsprüfung - -     Threat Hunting durch Experten - -     Eindämmung von Bedrohungen - -     Direkter Telefon-Support bei akuten Vorfällen - -     Umfassende Reaktionsmaßnahmen bei Vorfällen: Bedrohungen werden vollständig beseitigt - -     Ursachenanalyse - -     Dedizierter Ansprechpartner - -     Breach Protection Warranty über bis zu 1 Mio. US$ - -    
41,74 €*