Aktuelle Bedrohung Hafnium – Was nun zu tun ist

Eine Einordnung der Lage von SySS IT Forensics Consultant Felix Bossert

Gegenwärtig macht eine kritische Sicherheitslücke in Microsofts Exchange Server weltweit Schlagzeilen. Die Schwachstelle ist bereits vor der Veröffentlichung des zugehörigen Patches ausgenutzt worden – und danach dann massenhaft über automatisierte Mechanismen. Zehntausende Systeme weltweit wurden gehackt, zumeist wurde eine Webshell installiert.

Hafnium: Wie sieht die Bedrohungslage aus?

Microsoft hat vier neue, als kritisch eingestufte Zero-Day-Exploits identifiziert. Die Schwachstellen betreffen mehrere Versionen des Exchange Servers. Bei den betroffenen Systemen handelt es sich um die Versionen 2010, 2013, 2016 und 2019. Microsoft hat die Schwachstellen am 2.3.2021 bekanntgegeben. Am 3.3.2021 wurde ein Notfall-Patch bereitgestellt.

Durch Kombination der identifizierten Schwachstellen kann ein unautorisierter Angreifer über Port 443 ("HTTPS") Zugriff auf betroffene Exchange Server erlangen und die Kontrolle über den Server übernehmen. Weiterführende Angriffe auf das System oder interne Netzwerke sind aufgrund des geringen Aufwands sowie der hohen Zugriffsrechte des Systems mit hoher Wahrscheinlichkeit anzunehmen. Dies kann zu einer vollständigen Kompromittierung der Windows-Domäne führen, da Exchange Server häufig eine besondere Vertrauensstellung besitzen.

Die Angriffe werden von Microsoft der Hafnium-Gruppe zugeordnet. Hinter "Hafnium" steht eine vermutlich staatlich finanzierte Hackergruppe. Als Hauptziel der Angriffe wurden zunächst amerikanische Unternehmen identifiziert. Nach Untersuchungen des BSI sind aber auch deutsche Unternehmen betroffen. Nach letzten Erkenntnissen liegt die Zahl der betroffenen Betriebe im fünfstelligen Bereich, sie wird aber vermutlich noch steigen. Bei 9.000 Unternehmen schätzt das BSI die Bedrohung so hoch ein, dass es sie eigens per Post vor dem Angriff und seinen Folgen gewarnt hat.

Nach Bekanntgabe der Schwachstelle und der Veröffentlichung von Proof of Concept-Codes ist aber auch mit weiteren Angreifern zu rechnen. Während erster Untersuchungen konnte die SySS Abweichungen zu veröffentlichten Indikatoren für die Ausnutzung der Schwachstellen identifizieren: Es gibt mehr unterschiedliche Webshells als bisher bekannt, d. h. die reine Prüfung auf die bekannten IOC ist nicht ausreichend. Dieser Befund unterstützt die Vermutung, dass weitere Angreifer sich die Schwachstelle zunutze machen werden.

Insbesondere gab es unmittelbar nach der Veröffentlichung der Patches massenhaft automatisierte Angriffe auf erreichbare ungepatchte Exchange Server.

Welche Gefahren verbergen sich Hinter den Schwachstellen?

CVE-2021-26855 beschreibt eine Server-Side Request Forgery-Schwachstelle. Hierbei können authentifizierte Angreifer im Kontext des Servers Anfragen an lokale Dienste, Dateien oder Systeme stellen. Weiterhin können Dienste oder Server, die nur im internen Netzwerk erreichbar sind, angesprochen und Schwachstellen auf diesen Systemen können potenziell ausgenutzt werden.

CVE-2021-26857 bezeichnet eine Deserialisierungs-Schwachstelle im Unified Messaging Service. Dieser läuft gewöhnlich unter dem Windows-User SYSTEM. Durch Ausnuztung der Schwachstelle können böswillige Befehle auf dem System ausgeführt werden.

Bei der Schwachstelle CVE-2021-26858 handelt es sich um ein Arbitrary File Write. Hierfür werden Zugangsdaten benötigt, welche durch das Ausnutzen der oben genannten Schwachstellen umgangen werden können (SSRF) oder durch vorherig kompromittierte Zugangsdaten (Credentials Dump). Dadurch ist es möglich, beliebige Dateien auf dem System anzulegen, darunter auch Webshells, über die Angreifer auch später noch Befehle auf dem System ausführen können.

Die Schwachstelle CVE-2021-27065 bietet eine Möglichkeit, fremden Schadcode auf betroffenen Systemen auszuführen (Remote Code Execution).

wie Kann man feststellen, ob Man betroffen ist?

Zunächst gelten alle Exchange Server als verwundbar, deren Port 443 aus nicht vertrauenswürdigen Netzwerken erreichbar ist und die keine Pre-Authentication verlangen.

Um die Schwachstelle zu identifizieren, empfiehlt es sich, den Zugriff auf Port 443 zu prüfen. Hierfür bietet sich der Portscanner Nmap an. Dieser stellt zudem ein neues Skript bereit, mit dem die Schwachstelle CVE 2021-26855 verifiziert werden kann. Hierfür kann folgender Aufruf genutzt werden:

nmap -p 443 --script http-vuln-cve2021-26855 <IP>

Weiterhin bietet Microsoft ein Skript, mit dem geprüft werden kann, ob sich Indikatoren einer Kompromittierungen auf dem Exchange Server finden lassen. Das Skript ist auf dem Microsoft Blog zu beziehen. Außerdem kann Microsofts MSERT-Tool verwendet werden. Es ist unter der URL docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download herunterzuladen. Das Tool kann potenzielle Webshells erkennen und entfernen. Hierbei ist jedoch zu beachten, dass das Tool standardmäßig identifizierte Webshells löscht. Für eine weitere Untersuchung der Artefakte muss das Tool mit dem Parameter /N gestartert werden.

Überdies ist es sinnvoll, auf dem System nach etwaigen Webshells oder Auffälligkeiten in den IIS-Logs zu suchen. Eine Liste an identifizierten Shell-Namen sowie die MD-5 Prüfsummen der Webshells können hier eingesehen werden.

Häufig entwenden Angreifer Zugangsdaten – die Suche nach Credentials Dumps bspw. via ProcDump ist also ebenfalls ratsam.

Was ist zu tun?

Zunächst sollte die Schwachstelle durch die entsprechenden Patches geschlossen werden. Geht man von einer Kompromittierung aus, so sollte im ersten Schritt das betroffene System isoliert und der Schaden so begegrenzt werden. Gibt es bspw. Hinweise auf entwendete Zugangsdaten, so müssen diese zurückgesetzt werden. Danach sollte geprüft werden, wie weit die Angreifer ins interne Netzwerk vordringen konnten.

Konkret heißt das:

  • Es ist zu prüfen, ob die Angreifer Schadsoftware hinterlassen haben (Webshell).
  • Es ist zu prüfen, ob die Angreifer sich vom Exchange aus intern ausgebreitet und AD-Zugangsdaten gestohlen haben.

Microsoft empfiehlt noch weitere Maßnahmen, darunter die Implementierung von IIS-Rewrite-Rules, die Deaktivierung der Unified Messaging-Funktion oder die Deaktivierung des ECP Application Pools. Die SySS rät ausdrücklich, die Maßnahmen zu prüfen, da diese Auswirkungen auf die Verfügbarkeit der Systeme haben und somit kritische Prozesse stören können. Beispielsweise kann durch Blockierung des Ports 443 der Active-Sync durch mobile Unternehmensgeräte verhindert werden. Dennoch kann die Maßnahme übergangsweise sinnvoll sein, bis eine Überprüfung der Systeme möglich ist.

  • Nicht vergessen werden darf eine Sicherung der Logs. Gerade bei Exchange Servern, Domaincontrollern und Netzwerk-Logs sind die Aufbewahrungszeiten zumeist zu kurz – die Logs sollten also schnellstmöglich gesichert werden.
  • Bevor der Server neu aufgesetzt wird, sollte sichergestellt werden, dass Backups der Systeme angefertigt werden. Bei virtuellen Maschinen hilft hier ein Snapshot, ansonsten können bspw. ein Dump des Arbeitsspeichers und ein Image der Festplatte angefertigt werden. Diese dienen einer potenziellen forensischen Untersuchung und erleichtern es später, die Tragweite des Angriffs auszuwerten.
  • Bevor die Systeme wieder öffentlich erreichbar sind, müssen unbedingt die Patches eingespielt werden.
  • Wichtig ist das Zurücksetzen des Active Directory. Zu denken ist dabei auch an eventuelle Golden Tickets, Service Accounts und Ähnliches. Auch VPN-Zugänge oder Vergleichbares können abgeflossen sein.
  • Schließlich ist zu prüfen, ob unberechtigte Zugriffe auf E-Mail-Konten erfolgt sind, bspw. von unbekannten IP-Adressen aus.

Wie geht es weiter?

Sind Hinweise auf eine Kompromittierung gegeben, sollte das Ausmaß des Angriffs festgestellt werden. Hierbei  ist zu untersuchen, wie der Angriff genau verlaufen ist. Der Fokus der Untersuchung liegt auf der Erkennung von Versuchen lateraler Bewegung im internen Netz oder Persistierungsversuchen der Angreifer. Die Angreifer hinterlassen hier bspw. klassischerweise eine Webshell, die auch nach Schließen der Lücke noch Zugriffe zulassen würde. Überdies können sie Benutzer anlegen oder verändern, Scheduled Tasks anlegen, Schadsoftware ausrollen, etc.

Die Angreifer-Gruppe wurde bereits durch Datenextraktion mithilfe des Diensts MEGA auffällig, daher muss auch der Netzwerkverkehr untersucht werden. Je nach Umfang des Angriffs sollten Firewall-Log-Dateien, IIS-Serverlogs, Windows-Eventlogs und weitere relevante Logs (beispielsweise Powershell) untersucht werden.
Wichtig ist, zu prüfen, ob es auffällige Verbindungen von einem betroffenen Exchange Server aus gibt, und ob ungewöhnliche Logins, Veränderungen auf Systemen oder nicht plausibilisierbarer Traffic zu bebachten sind.

Auch eventuell anfallende Meldepflichten an die zuständige Datenschutzbehörde dürfen nicht vergessen werden.

Weitere Quellen

Für weitere ausführliche Informationen zu den Schwachstellen empfiehlt die SySS folgende Quellen:

blog.rapid7.com/2021/03/03/rapid7s-insightidr-enables-detection-and-response-to-microsoft-exchange-0-day/

www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132.pdf

krebsonsecurity.com/2021/03/microsoft-chinese-cyberspies-used-4-exchange-server-flaws-to-plunder-emails/

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer