Verkettete Sicherheitslücken führen zur Ausführung von Remote-Befehlen
Die Autoren: Mark Ellzey, Greg Gaylor
Was ist das Problem?
Die ProxyLogon-Schwachstellen, die im März öffentlich gemacht und in unserem Blogbeitrag Microsoft Exchange 0-day Vulnerabilities besprochen wurden, sind inzwischen gepatcht worden, aber es wurde ein ähnlicher Angriff auf Microsoft Exchange entdeckt. DEVCORE-Forscher "Orange Tsai" hat seine Erkenntnisse über eine neue Schwachstelle veröffentlicht, die mehrere Exploits kombiniert; sie trägt den Codenamen "ProxyShell".
Zum Zeitpunkt der Erstellung dieses Berichts (August 2021), Censys über 175.300 Hosts identifiziert identifiziert, auf denen der Exchange SMTP-Dienst lief. Von diesen Hosts sind etwa 135.000 Hosts neben SMTPD auch eine Form von Microsoft Internet Information Server aus. Wir unterscheiden diese beiden Dienste, da für einen erfolgreichen Angriff beide Dienste erforderlich sind, aber es ist zu beachten, dass diese Dienste auf verschiedenen Hosts laufen können.
Der ProxyShell-Angriff besteht aus drei separaten Schwachstellen, die miteinander verkettet sind, um Remotecodeausführung zu erreichen, was Angreifern die Möglichkeit gibt, dauerhaft in Ihrer Exchange-Umgebung Fuß zu fassen. Nachfolgend finden Sie eine grundlegende Analyse der Angriffskette selbst:
Phase Eins: CVE-2021-34473
Ähnlich wie die im März gefundene SSRF nutzt die erste Schwachstelle, CVE-2021-34473, eine Funktion in Exchange aus, die eine saubere und normalisierte URL für das Postfach eines Benutzers generiert, die als einzelner Link für die Verwendung in Backend-Aufrufen dargestellt wird. Indem er auf bestimmte Handler abzielt, kann ein Benutzer den Server dazu bringen, bestimmte URL-Abschnitte zu entfernen, um eine Verbindung zu beliebigen Backend-Diensten herzustellen.
Phase Zwei: CVE-2021-34523
Die nächste Phase der Angriffskette ist CVE-2021-34523, die die Logik in einem Subsystem von Exchange namens "Exchange PowerShell Service" ausnutzt. Diese Funktion ermöglicht es Benutzern, E-Mails über die Befehlszeile zu senden und zu empfangen, überprüft jedoch nicht ordnungsgemäß, ob sich der Benutzer am Frontend authentifiziert hat. Durch das Setzen eines bestimmten Anfrageparameters ("X-Rps-CAT") kann ein Angreifer den Server dazu bringen, einen beliebigen Befehl als einen anderen Benutzer auszuführen.
Phase 3: CVE-2021-31207
Die dritte und letzte Sicherheitslücke, die in CVE-2021-31207 behandelt wird, nutzt den Zugriff aus den vorherigen Angriffen, um den Befehl "New-MailboxExportRequest" auszuführen, um das Postfach eines Benutzers in einen angegebenen Pfad zu exportieren. Durch die Kodierung eines E-Mail-Anhangs, wie z. B. einer Remote-Shell, im "Outlook Personal Folder"-Format, deserialisiert der Befehl MailboxExportRequest die Daten und schreibt den eigentlichen Inhalt in seiner ursprünglichen Form auf die Festplatte. Sobald die Daten entschlüsselt und geschrieben wurden, kann ein Angreifer dieselbe Schwachstelle nutzen, um den exportierten Code auszuführen.
Warum ist das wichtig?
Duo-Forscher haben bestätigt, dass Angreifer aktiv nach Ransomware wie "LemonDuck" und anderer Schadsoftware suchen und den Angriff zur Installation nutzen. Duo entdeckte auch, dass die Angreifer die Konfigurationsdateien des Exchange-Servers veränderten, um webbasierte Shells an versteckten Stellen zu verstecken.
Am 20. August meldete Symantec in seinem Artikel über "LockFile" eine neue Ransomware-Familie. Zum Zeitpunkt der Erstellung dieses Artikels war der Angriffsvektor noch unbekannt, und seit dem 23. August werden die Angriffe mit der hier beschriebenen ProxyShell-Exploit-Kette in Verbindung gebracht.
Ein paar Tage später, am 23. August, erklärte Duo Security in einem Beitrag mit dem Titel "ProxyShell Attacks Escalate": "Huntress Labs, das mit Managed Service Providern zusammenarbeitet, hat nach eigenen Angaben Einblick in mehr als 1.700 gefährdete Server und hat in den letzten Tagen etwa 300 von ihnen kompromittiert."
Im Laufe der Zeit wird diese Zahl mit ziemlicher Sicherheit noch steigen.
Was kann ich dagegen tun?
Obwohl die CVE erst im Juli veröffentlicht wurde, hat Microsoft die Sicherheitslücke im April 2021 stillschweigend geschlossen. Wenn Sie seit dem März-Update keine Patches angewendet haben, sind Sie höchstwahrscheinlich für diese Sicherheitslücke anfällig.
- Aktualisieren Sie die Dienste sofort, indem Sie die Anweisungen hier befolgen.
- Censys ASM-Kunden können auf der Seite Host-Inventarisierung schnell alle laufenden Microsoft Exchange-Server in Ihrer Umgebung identifizieren.
- Verwenden Sie Kevin Beaumont's NMAP-Skript die einen Port-Scan mit Informationen darüber ergänzen kann, ob ein Host für den ersten Pre-Auth-Angriff anfällig ist.
- Navigieren Sie zu dem NMAP-Verzeichnis, das benutzerdefinierte Skripte enthält.
- Mac: /usr/local/Cellar/nmap/<version>/share/nmap/scripts
- Linux: /usr/share/nmap/scripts
- Laden Sie das NMAP-Skript in das Verzeichnis herunter.
- Führen Sie "nmap -p [PORTS]-script http-vuln-exchange-proxyshell [IP/Host]" aus.
- Anfällige Hosts erhalten eine Meldung wie die folgende: ** Anfällig für ProxyShell SSRF **
Zusätzliche Informationen für Jäger, Verteidiger und Aufklärungsteams
Mit Censys Search 2.0 scannen wir den gesamten IPV4-Adressbereich nach über 3.500 Ports und Diensten. Das Besondere an den Daten von Censys Search 2.0 ist, dass wir über die aktuellsten verfügbaren Daten von Diensten verfügen, die auf verschiedenen Nicht-Standard-Ports laufen. Dies hilft uns, nicht standardisierte Port-/Dienstkonfigurationen in großem Umfang zu finden. Microsoft Exchange Server auf einem nicht standardmäßigen HTTP-Port eingerichtet? Kein Problem, wir haben die Lösung für Sie.
Beispiel Censys Search Pivots:
Wo sind die Informationen zur Serverversion im Antwortkörper von Censys zu finden?
Referenzen:
