Was ist das Problem?
Im Januar 2021 deckte Volexity eine Server Side Request Forgery (SSRF) Zero-Day-Schwachstelle in Microsoft Exchange Server (CVE-2021-26855) auf, als diese auf einem ihrer Server ausgenutzt wurde. Spätere Untersuchungen ergaben, dass Angreifer die SSRF-Schwachstelle mit einem zusätzlichen RCE-Exploit (CVE-2021-27065) koppelten, um Code aus der Ferne auf Exchange-Servern auszuführen. Diese Sicherheitslücke wurde bereits am 3. Januar 2021 in freier Wildbahn ausgenutzt.
Am 2. März 2021 veröffentlichte Microsoft mehrere Sicherheitsupdates, die diese kritischen Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) in Microsoft Exchange Server 2013, 2016 und 2019 beheben; kürzlich wurden auch zusätzliche Updates für Exchange 2010 veröffentlicht. Betroffene Versionen sind:
- 2013 CU 23
- 2016 CU 19
- 2016 CU 18
- 2019 CU 8
- 2019 CU 7
Mit Stand vom 9. März 2021 beobachteteCensys 251.211 Microsoft Exchange Server (Versionen 2013, 2016 oder 2019) im Internet. Exchange Server enthält Versionsinformationen auf der Seite Outlook Web Access (OWA), wodurch wir feststellen konnten, ob auf den Servern eine betroffene Version von Exchange läuft. Mehr als 50 % der Exchange Server der Versionen 2013, 2016 und 2019 gehören zu einer dieser fünf Versionen. Wir weisen jedoch darauf hin, dass die gemeldeten Versionsdaten nicht den Patch-Level des Servers enthalten, so dass wir nicht feststellen können, ob ein Hotpatch zur Behebung dieser spezifischen Schwachstellen angewendet wurde.
Mehr als 50 % der Exchange Server der Jahre 2013, 2016 und 2019 gehören zu einer dieser 5 speziell betroffenen Versionen.
Zu den wichtigsten Ländern, in denen Exchange Server beobachtet wurden, gehören die Vereinigten Staaten, Deutschland, das Vereinigte Königreich, die Niederlande und Russland.
Zusätzlich zur Identifizierung von Microsoft Exchange-Servern rund um den Globus hat Censys auch kartiert, wo diese Server nach Cloud-Anbieter betrieben werden.
Warum ist das wichtig?
Die betroffenen Server sind weltweit und branchenübergreifend verbreitet. Wir haben eine Zufallsstichprobe von IPs in den Vereinigten Staaten genommen und sie den Branchen zugeordnet. Wir fanden heraus, dass etwa 20 % der US-Exchange-Server mit Bildungseinrichtungen wie Universitäten verbunden sind. Die Verbreitung über alle Branchen hinweg ist jedoch beachtlich und betrifft jeden, vom Einzelhandel über die Telekommunikation bis hin zu Softwareunternehmen.
Die Besorgnis über die laufende und aktive Ausbeutung durch verschiedene Gruppen, die schwerwiegende Folgen für Unternehmen haben, hat laut Microsoft zugenommen. Zu den Bedenken gehören:
- Web-Shells: Es wurde beobachtet, dass Web-Shells auf Systemen abgelegt wurden, die eine zukünftige Nutzung von Backdoors ermöglichen.
- Seitwärtsbewegung: Versuche, sich seitlich zu bewegen und die Organisation weiter zu gefährden.
- Malware / Ransomware: Installation von zusätzlicher Malware oder Ransomware.
- Credential Dumps: Diebstahl von Anmeldeinformationen von Systemen zur späteren Verwendung oder für weitere Versuche, das Unternehmen auszunutzen.
In weiteren Berichten von Volexity wurde auch die aktive Exfiltration von Daten, wie z. B. vollständige E-Mail-Postfächer, festgestellt.
Was kann ich dagegen tun?
Nutzen Sie die Open-Source-Tools von Microsoft, um so schnell wie möglich festzustellen, ob Ihre Microsoft Exchange Server verwundbar sind. Microsoft hat eine Reihe von nmap- und Powershell-Skripten veröffentlicht, mit denen Sie feststellen können, ob Sie verwundbar sind, und die von der CISA unterstützt werden.
Wenn Sie anfällige Exchange Server in Ihrer Umgebung finden, sollten Sie sofort die neuesten Sicherheits-Patches von Microsoft installieren und sicherstellen, dass die Daten Ihres Unternehmens gesichert sind.
Ressourcen
