Erkennung der Microsoft Exchange ProxyShell-Attacke
Inhaltsverzeichnis:
Tausende von Microsoft Exchange-Servern bleiben trotz der im April-Mai veröffentlichten Patches anfällig für ProxyShell-Remote-Code-Ausnutzungsanfälligkeiten. Um die Sache noch schlimmer zu machen, beobachten Sicherheitsforscher einen signifikanten Anstieg bei Scans nach anfälligen Exchange-Servern, nachdem der technische Überblick über den ProxyShell-Angriff auf der Black Hat-Konferenz am 4.-5. August 2021 vorgestellt wurde.
Was sind ProxyShell-Schwachstellen?
ProxyShell ist ein Sammelname für drei separate Schwachstellen, die in Kette unauthentifizierten Hackern erlauben, Remote-Code-Ausführung (RCE) auf anfälligen Microsoft Exchange-Servern durchzuführen. Der erste Fehler (CVE-2021-34473) ist ein Pre-Auth-Patch-Verwirrungsproblem, das zu einem ACL-Bypass führt. Der zweite Fehler (CVE-2021-34523) ist eine Berechtigungseskalation im Exchange PowerShell-Backend. Und schließlich ist das dritte Problem (CVE-2021-31207) eine Post-Auth-Willkür-Datei-Schreibfehlkonfiguration, die zu RCE führt. Die Kombination dieser Fehlkonfigurationen kann über den Client Access Service (CAS) von Microsoft Exchange genutzt werden, der auf Port 443 in IIS läuft.
Die Schwachstellen wurden von dem Sicherheitsforscher Orange Tsai im April 2021 identifiziert und analysiert. Darüber hinaus gab Tsai auf der Black Hat-Konferenz einen Überblick über die Angriffs-Kill-Chain und technische Details der Schwachstellen. Insbesondere erklärte der Experte, dass der ProxyShell-Angriff den Microsoft Exchange Autodiscover-Dienst kompromittiert, der dazu bestimmt ist, die automatische Konfiguration von E-Mail-Client-Software zu vereinfachen.
Tsais Black Hat Präsentation inspirierte die Sicherheitsforscher PeterJson und Jang, eine detaillierte Übersicht über den ProxyShell-Angriff und eine Schritt-für-Schritt-Beschreibung der Angriffs-Kill-Chain zu veröffentlichen.
Nun, da die Details offenbart und die Kill-Chain beschrieben wurden, scannen Gegner aktiv nach anfälligen Microsoft Exchange-Servern, um die Kombination von Schwachstellen in freier Wildbahn auszunutzen. Bisher sind die Angriffsversuche der Hacker nicht sehr umfangreich, aber wir werden wahrscheinlich bald eine Lawine erfolgreicher Ausnutzungsversuche sehen. Zudem, trotz der Verfügbarkeit der Patches seit April 2021, sind über 30.000 Exchange-Server bis heute anfällig, was Angreifer dazu motiviert, ihre bösartigen Aktionen fortzusetzen.
ProxyShell-Angriffserkennung und -minderung
Obwohl die ProxyShell-Schwachstellen im Juli öffentlich gemacht wurden, hat Microsoft diese berüchtigten Schwachstellen bereits im April-Mai 2021 behoben. Insbesondere CVE-2021-34473 und CVE-2021-34523 wurden still und leise im Microsoft Exchange KB5001779 kumulativen Update im April adressiert. Und CVE-2021-31207 wurde mit der Veröffentlichung von KB5003435gepatcht. Administratoren werden dringend aufgefordert, die Server so schnell wie möglich zu patchen, um die verheerenden Folgen des ProxyShell-Angriffs zu verhindern.
Um Sicherheitsexperten bei der Abwehr von ProxyShell-Angriffen zu unterstützen und mögliche bösartige Aktivitäten im Netzwerk zu erkennen, haben die Sicherheitsexperten Florian Roth und Rich Warren dedizierte Sigma-Regeln veröffentlicht. Laden Sie diese SOC-Inhalte kostenlos direkt vom Threat Detection Marketplace herunter:
Exchange ProxyShell Muster
Diese Regel, geschrieben von Florian Roth und Rich Warren, erkennt URP-Muster, die in ProxyShell-Ausnutzungsversuchen gegen Exchange-Server gefunden werden könnten.
SIEM- & ANALYTIK-LÖSUNGEN: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Graylog, Regex Grep, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
Die Regel ist mit dem MITRE ATT&CK® Framework verbunden und adressiert die Taktiken des anfänglichen Zugriffs und die Technik ‚Exploiting Public-Facing Application‘ (T1190).
Verdächtiger PowerShell-Mailbox-Export zu Share
Diese Regel, geschrieben von Florian Roth, erkennt einen PowerShell New-MailboxExportRequest, der einen Postfach-Export zu einem lokalen Share ausführt, wie er in ProxyShell-Ausnutzungen verwendet wird.
SIEM- & ANALYTIK-LÖSUNGEN: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Graylog, Regex Grep, Humio, SentinelOne, CrowdStrike, Microsoft Powershell, Microsoft Defender ATP, Carbon Black, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
Die Regel ist mit dem MITRE ATT&CK® Framework verbunden und adressiert die Taktiken der Sammlung und die Technik ‚Email Collection‘ (T1114).
Abonnieren Sie den Threat Detection Marketplace kostenlos und erreichen Sie die branchenführende Content-as-a-Service (CaaS)-Plattform, die den vollständigen CI/CD-Workflow für Bedrohungserkennung ermöglicht. Unsere Bibliothek aggregiert über 100.000 qualifizierte, hersteller- und werkzeugübergreifende SOC-Inhalte, die direkt CVE- und MITRE ATT&CK®-Frameworks zugeordnet sind. Möchten Sie Ihre eigenen Sigma-Regeln erstellen? Treten Sie unserem Threat Bounty-Programm bei und erhalten Sie Belohnungen für Ihren Beitrag!
