0-Day-Schwachstellen bei Microsoft Exchange Server

Mrz 4, 2021 | Managed Services

Microsoft hat mehrere riskante 0-Day-Schwachstellen entdeckt, welche für Angriffe auf lokale Microsoft Exchange Server (2013, 2016 und 2019) angewendet werden. In bekannten Fällen hatte der Angreifer Zugriff auf E-Mail-Konten und konnte via Github-Download zusätzliche Malware (Powercat) für erweiterten Zugriff auf die Umgebung installieren. Gemäss Microsoft werden diese Angriffe mit hoher Wahrscheinlichkeit der APT-Gruppe HAFNIUM[1] zugeschrieben.

Konkret handelt es sich hierbei um folgende Schwachstellen[2]:

  • CVE-2021-26855
  • CVE-2021-26857
  • CVE-2021-26858
  • CVE-2021-27065

Zusätzliche Informationen zu den genannten Schwachstellen können bei Microsoft[3] eingesehen werden.

Es hat sich gezeigt, dass in der Schweiz bereits über 1’500 Systeme von dieser Schwachstelle betroffen sind. Die Dunkelziffer dürfte sogar weitaus höher ausfallen. Wir empfehlen Ihnen dringend, die folgenden vier Schritte schnellstmöglich vorzunehmen:

  1. Lockdown: Verhindern Sie, dass der Exchange Server aus dem Internet erreichbar ist oder Verbindungen ins Internet aufbauen kann. Sichern Sie Protokolle (Eventlog, IISLog, CASLog, Firewall, etc.), ehe sie gelöscht oder überschrieben werden.
  2. Analyse: Prüfen Sie Ihre vorhandenen Logs, ob ein Einbruch stattgefunden hat. Überprüfen Sie auf weitere Backdoors, Lateral Movement, Privilege Escalation, usw.
  3. Bereinigung, Patchen, ggf. Neuaufbau: Entfernen Sie die installierten Hintertüren und verhindern Sie mittels Installation der Updates eine Neuinfektion.
  4. Weitere Analyse: Speziell wenn Sie die bestehende Umgebung weiterhin nutzen, müssen sie wachsam sein und möglichst viel in Erfahrung bringen.

Das Netcloud Cyber Defence Center (CDC) verfügt über kompetente Security-Spezialisten und ein Incident & Response Team, welches Sie bei einem oder mehreren dieser Schritte unterstützt. Gerne beantworten wir auch Ihre Fragen, wenn Sie bezüglich dieses Vorfalls unsicher sind. Kontaktieren Sie uns via cdc@netcloud.ch.

[1]:

https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/

[2]:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

[3]

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/