![\"MSP-Sicherheitswarnbanner\"](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2023\/10\/MSP-securiity-alert-banner.png\")
<\/p>\n<\/p>\n
Aktualisiert am 16. M\u00e4rz 2021.\u00a0<\/strong><\/p>\n Am Dienstag, dem 2. M\u00e4rz, gab Microsoft bekannt<\/a>, dass es eine Reihe von vier Zero-Day-Schwachstellen<\/a> entdeckt hat, die aktiv f\u00fcr Angriffe auf Versionen von On-Premises-Exchange Server<\/strong> genutzt wurden. Patches sind verf\u00fcgbar<\/a>, und Unternehmen wird dringend empfohlen, anf\u00e4llige Systeme so schnell wie m\u00f6glich zu identifizieren, zu aktualisieren und zu \u00fcberpr\u00fcfen.<\/p>\n Wir haben diesen Guide zur Minimierung von Zero-Day-Schwachstellen in Microsoft Exchange erstellt, um entsprechende Ressourcen sowie Informationen zu sammeln, und werden ihn regelm\u00e4\u00dfig aktualisieren.<\/p>\n <\/p>\n Im Folgenden finden Sie gute Zusammenfassungen und Threads, die Sie verfolgen k\u00f6nnen, um sich auf den neuesten Stand zu bringen:<\/p>\n <\/p>\n Huntress Schnellreaktions-Thread von Huntress<\/a>, der sich speziell an MSPs richtet, einschlie\u00dflich Bedrohungsinformationen und Erkenntnisse aus der Untersuchung der eigenen Partnerbasis. Huntress aktualisiert diese Seite st\u00e4ndig, sobald neue Informationen verf\u00fcgbar sind.<\/p>\n Huntress veranstaltete au\u00dferdem am 4. M\u00e4rz um 13.00 Uhr ET ein Webinar, in dem sie eine Zusammenfassung ihrer bisherigen Untersuchungen und Beobachtungen vorstellten. Hier auf Abruf ansehen.<\/a><\/p>\n Volexity Sie waren unten den Ersten, die diese Aktivit\u00e4t schon am 6. Januar entdeckt und dar\u00fcber berichtet haben. Dieser Beitrag enth\u00e4lt weitere Einzelheiten dar\u00fcber, wie die Schwachstellen tats\u00e4chlich ausgenutzt werden, sowie eine kurze Liste der beobachteten Taktiken, Techniken und Verfahren (TTPs) nach der Ausnutzung. Es bietet auch zus\u00e4tzliche Indikatoren f\u00fcr Kompromittierungen (IoC).<\/p>\n FireEye Best\u00e4tigt auch die Beobachtung von Missbrauch im Januar und enth\u00e4lt eine weitere tolle technische Aufschl\u00fcsselung der Angriffe. Enth\u00e4lt zus\u00e4tzliche Tipps zur Untersuchung potenzieller Kompromittierungen (sehen Sie unten).<\/p>\n Red Canary Bietet eine Aufschl\u00fcsselung der von Red Canary identifizierten Bedrohungsaktivit\u00e4ten nach der Ausnutzung, zusammen mit praktischen Erkennungsm\u00f6glichkeiten und Ratschl\u00e4gen zur Fehlerbehebung.<\/p>\n CrowdStrike Wenn Sie \u00fcber den Titel und den Verkaufsaspekt hinwegsehen k\u00f6nnen, finden Sie in diesem Beitrag zus\u00e4tzliche technische Details, IoCs und eine interesante Zusammenfassung der Bedrohungserkennung und -suche.<\/p>\n <\/p>\n Microsoft hat vier Schwachstellen identifiziert, die aktiv ausgenutzt wurden. Das Out-of-Band-Sicherheitsupdate des Unternehmens behebt jedoch auch drei weitere Schwachstellen f\u00fcr die Remote-Code-Ausf\u00fchrung (RCE), die nicht mit den aktiven Angriffen in Verbindung gebracht wurden.<\/p>\n Erster Zugang<\/strong><\/span><\/p>\n CVSSv3: 9.1<\/strong><\/p>\n Eine serverseitige Anforderungsf\u00e4lschung (SSRF) in Exchange, die es entfernten Angreifer:innen erlaubt, beliebige HTTP-Anforderungen zu senden und sich als Exchange-Server zu authentifizieren.<\/p>\n Laut dem Sicherheitsunternehmen Volexity:<\/a><\/p>\n Diese Schwachstelle kann aus der Ferne ausgenutzt werden und erfordert weder eine Authentifizierung noch spezielle Kenntnisse oder Zugang zu einer Zielumgebung. Der Angreifer muss nur den Server kennen, auf dem Exchange l\u00e4uft, und das Konto, von dem er E-Mails abrufen will.<\/em><\/p>\n Falls diese Schwachstelle erfolgreich ausgenutzt wird, hat ein Angreifer die M\u00f6glichkeit, die drei weiteren unten aufgef\u00fchrten Schwachstellen auszunutzen.<\/p>\n Remote-Code-Ausf\u00fchrung nach der Authentifizierung (RCE)<\/strong><\/span><\/p>\n CVSSv3: 7.8<\/strong><\/p>\n Laut Tenable<\/a> befindet sich die Schwachstelle im\u00a0Exchange Unified Messaging Service<\/a>, der neben anderen Funktionen auch die Voicemail-Funktionalit\u00e4t erm\u00f6glicht. Es erm\u00f6glicht die Ausf\u00fchrung von Code als SYSTEM auf dem Exchange-Server, erfordert jedoch Administratorrechte oder eine andere ausnutzbare Schwachstelle.<\/p>\n CVSSv3: 7.8<\/strong><\/p>\n Falls Angreifer:innen in der Lage sind, sich beim Exchange-Server zu authentifizieren (entweder durch Ausnutzung von CVE-2021-26855 oder durch Kompromittierung der Anmeldeinformationen eines legitimen Administrators), k\u00f6nnen sie diese Schwachstelle ausnutzen, um eine Datei in einen beliebigen Pfad auf dem Server zu schreiben.<\/p>\n CVSSv3: 7.8<\/strong><\/p>\n Dito.<\/p>\n <\/p>\n Anmerkungen zur Aktivit\u00e4t nach der Ausnutzung<\/span><\/strong><\/p>\n Wie FireEye<\/a>, Volexity<\/a> und andere berichtet haben, haben Angreifer:innen diese Schwachstellen ausgenutzt, um Web-Shells, einschlie\u00dflich Varianten von China Chopper<\/a>, zu verbreiten. Diese gaben den Angreifern die M\u00f6glichkeit, die Vorbereitungen zu treffen und eine Vielzahl von Aktivit\u00e4ten nach der Ausnutzung durchzuf\u00fchren.<\/p>\n Zu den beobachteten TTPs geh\u00f6ren:<\/p>\n Weitere Informationen \u00fcber die Bedrohungsaktivit\u00e4t nach der Ausnutzung finden Sie in den Untersuchungen von Red Canary<\/a>.<\/p>\n <\/p>\n Zus\u00e4tzliche nicht verwandte Schwachstellen<\/strong><\/span><\/p>\n Zus\u00e4tzlich zu diesen Zero-Day-Schwachstellen hat Microsoft auch die folgenden, nicht damit zusammenh\u00e4ngenden RCE-Schwachstellen gepatcht:<\/p>\n <\/p>\n Wie Huntress es w\u00e4hrend ihres Webinars<\/a> kurz und b\u00fcndig formulierte: alle von ihnen.<\/strong><\/p>\n Hinweis:<\/strong> Microsoft hat best\u00e4tigt, dass Exchange Online NICHT betroffen ist.<\/a><\/p>\n Obwohl Microsoft die Angriffe zun\u00e4chst als \u201ebegrenzt und gezielt\u201c bezeichnete, deuten sp\u00e4tere Erkenntnisse anderer Anbieter und Forscher darauf hin, dass die Aktivit\u00e4ten weitaus weiter verbreitet und wahlloser waren.<\/p>\n Update: Sch\u00e4tzungsweise mindestens 30.000 US-Unternehmen wurden kompromittiert<\/strong><\/p>\n Am Freitag, dem 5. M\u00e4rz, berichtete Brian Krebs, dass mehrere Quellen davon ausgehen, dass weltweit Hunderttausende von Unternehmen kompromittiert wurden<\/a>, davon allein 30.000 Unternehmen in den USA.<\/p>\n Der Wired-Journalist Andy Greenberg best\u00e4tigte dies sp\u00e4ter:<\/p>\n Ich best\u00e4tige die Meldung von @briankrebs<\/a>, dass die chinesische Gruppe Hafnium jetzt Zero-Days in Microsoft Exchange ausgenutzt hat, um Zehntausende von Netzwerken zu hacken. Ein Forscher spricht von 30.000 Servern allein in den USA und Hunderttausenden weltweit. \u201eChina hat gerade die Welt erobert.\u201c https:\/\/t.co\/C1FkmBVLNI<\/a><\/p>\n – Andy Greenberg (@a_greenberg) 6. M\u00e4rz 2021<\/a><\/p><\/blockquote>\nInhalts\u00fcbersicht<\/h2>\n
\n
\u00dcbersichten<\/h2>\n
\n
\n
Bedrohungsdaten von Sicherheitsunternehmen<\/h2>\n
\n<\/strong>Mass exploitation of on-prem Exchange servers (Thread auf r\/msp)<\/a><\/p>\n
\n<\/strong>Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities<\/a><\/p>\n
\n<\/strong>Detection and Response to Exploitation of Microsoft Exchange Zero-Day Vulnerabilities<\/a><\/p>\n
\n<\/strong>Microsoft Exchange server exploitation: How to detect, mitigate, and stay calm<\/a><\/p>\n
\n<\/strong>Falcon Complete Stops Microsoft Exchange Server Zero-Day Exploits<\/a><\/p>\nWelche Schwachstellen wurden ausgenutzt?<\/h2>\n
CVE-2021-26855\u00a0<\/a><\/h4>\n
CVE-2021-26857<\/a><\/h3>\n
CVE-2021-26858<\/a><\/h3>\n
CVE-2021-27065<\/a><\/h3>\n
\n
\n
Welche Versionen von Exchange sind betroffen?<\/h2>\n
![\"welche](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2023\/10\/what-versions-of-exchange-are-vulnerable.png\")
<\/p>\n\n
Wie verbreitet sind die Angriffe?<\/h2>\n
\n