von Bhabesh Raj Rai, Associate Security Analytics Engineer

Am 2. März 2021 veröffentlichte Microsoft wichtige Sicherheitsupdates für Microsoft Exchange Server, mit denen sieben Schwachstellen behoben wurden, darunter vier Zero-Day-Exploits, die bereits von mehreren Bedrohungsakteuren ausgenutzt wurden.

Die Telemetrie von ESET ergab, dass mehrere Cyberspionage-Gruppierungen chinesischen Ursprungs wie LuckyMouse, Tick und Calypso zumindest CVE-2021-26855 ausnutzten, um remote auf anfällige On-Premises-Exchange-Server zuzugreifen und Befehle beziehungsweise schadhaften Code auszuführen (vorauthentifizierte Remote Code Execution).

Die gepatchten Zero-Day-Schwachstellen sind CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 sowie CVE-2021-27065. Bedrohungsakteure können die Schwachstellen verketten, um eine unauthentifizierte Remote-Code-Ausführung zu erreichen. Diese Sicherheitslücken betreffen ausschließlich Microsoft Exchange Server, die on-premises eingesetzt werden, nicht die Cloud-E-Mail-Services Exchange Online oder Microsoft 365.

Die CISA hat darüber hinaus eine Notfallanweisung herausgegeben, die alle US-Bundesbehörden dazu aufforderte, Microsoft Exchange unverzüglich zu aktualisieren und bis Freitag, den 5. März 2021, 12 Uhr EST, einen Bericht über den Status der Ausnutzung dieser Schwachstellen vorzulegen. ESET hat festgestellt, dass sich die meisten Ziele in den USA befinden, wobei Regierungsbehörden, Anwaltskanzleien, die Privatwirtschaft sowie medizinische Einrichtungen als Hauptzielgruppen gelten.

Die Bedrohungsakteure verbreiten Web-Shells wie China Chopper, nachdem sie diese Schwachstellen erfolgreich ausgenutzt haben. Huntress hat aufgedeckt, wie mehrere Web-Shells auf einem einzigen Exchange-Server eingesetzt wurden, was wiederum auf eine Kompromittierung durch unabhängige Bedrohungsakteure hinweisen könnte. Administratoren sollten auf die Web-Shell-Drops achten, die von Huntress, Microsoft und ESET bereits dokumentiert wurden.

FireEye unterteilt die Bedrohungsakteure, die diese Zero-Day-Exploits ausnutzen, derzeit in drei Cluster: UNC2639, UNC2640 und UNC2643, während das Microsoft Threat Intelligence Center (MSTIC) diese Kampagne der vom chinesischen Staat unterstützten Gruppe HAFNIUM zuordnet.

Systemadministratoren und SOCs sollten berücksichtigen, dass diese Sicherheitsaktualisierung nicht für alle kumulativen Updates (CUs) und Rollup-Updates (RUs) verfügbar ist. Für Unternehmen, die nicht-unterstützte kumulative oder Rollup-Updates für Exchange-Server ausführen, müssen Administratoren also zunächst ein aktuell unterstütztes RU/CU installieren, bevor sie das Sicherheitsupdate einspielen können.

Erkennung von Exploits mit LogPoint

Administratoren können mit dem Unified Messaging Service des Exchange-Servers nach der Erzeugung anormaler Prozesse suchen, die auf eine erfolgreiche Ausnutzung von CVE-2021-26857 hinweisen können.

norm_id=WindowsSysmon label="Process" label=Create
parent_image="*UMWorkerProcess.exe" -image IN ["*wermgr.exe", "*WerFault.exe"]

Udnyttelsen af CVE-2021-26857 kan også registreres via Windows-applikationens hændelseslogfiler, da udnyttelsen af denne deserialiseringsfejl vil generere fejlhændelser af MSExchange Unified Messaging-tjenesten.

norm_id=WinServer channel=Application event_type=Error
event_source="MSExchange*"
((message="Watson report*" message="*umworkerprocess*" message="*TextFormattingRunProperties*")
OR (message="An unhandled exception occurred in a UM worker process*" OR message="The Microsoft Exchange Unified Messaging service*"))
-message="*System.OutOfMemoryException*"

Ebenso können Sie danach suchen, ob der Unified Messaging Service des Exchange-Servers verdächtige Dateien ablegt. Dies kann auf Web-Shells oder andere schadhafte Payloads über die Ausnutzung von CVE-2021-26858 hinweisen.

norm_id=WindowsSysmon label=File label=Create
source_image=”*\UMWorkerProcess.exe” -file IN [“CacheCleanup.bin”, “*.txt”, “*.LOG”, “*.cfg”, “cleanup.bin”]

Im Allgemeinen können Sie eine erfolgreiche Ausnutzung erkennen, wenn der IIS- Worker Process w3wp.exe die Eingabeaufforderung oder PowerShell startet.

norm_id=WindowsSysmon label="Process" label=Create
parent_image="*w2wp.exe" image IN ["*cmd.exe", "*powershell.exe"]

Erkennung von schadhaften Post-Exploit-Aktivitäten mit LogPoint

Microsofts Blog zu HAFNIUM beschreibt auch die Nutzung mehrerer Tools wie Nishang, PowerCat und Procdump in der Post-Exploit-Phase. So verwendete beispielsweise ein Bedrohungsakteur 7-Zip, um Dateien für die Exfiltration zu komprimieren. Sie können Sysmon nutzen, um nach verdächtigen File-Drops an ungewöhnlichen Speicherorten zu suchen.

norm_id=WindowsSysmon label=File label=Create
file IN ["*.exe", "*.zip", "*.rar", "*.7z"] path IN ["C:ProgramData*", "*AppDataLocal*", "*AppDataRoaming*", "C:UsersPublic*"]-file IN ["vs_setup_bootstrapper.exe", "DismHost.exe"]-source_image IN ["*Microsoft Visual StudioInstaller*BackgroundDownload.exe", "C:Windowssystem32cleanmgr.exe",
"*MsMpEng.exe", "C:WindowsSysWOW64OneDriveSetup.exe", "*AppDataLocalMicrosoftOneDrive*", "*MpCmdRun.exe", "*AppDataLocalTempmpam-*.exe"]

In ähnlicher Weise verwendete HAFNIUM auch Procdump, um den LSASS-Speicher für den Zugriff auf Anmeldeinformationen auszugeben und zu übertragen. Dies können Sie mit einer Suche nach Befehlszeilenargumenten von Procdump herausfinden.

norm_id=WindowsSysmon label="Process" label=Create
command IN ["* -ma lsass*"]

Wir empfehlen Administratoren, über die Events zur Dateierzeugung in Sysmon nach Web-Shell-Drops zu suchen.

norm_id=WindowsSysmon label=File label=Create
file="*.aspx" path IN ["C:inetpubwwwrootaspnet_client*", "*FrontEndHttpProxyowaauthCurrent*"]

Falls Sie Microsoft Defender auf Ihren Endpunkten einsetzen, suchen Sie nach der folgenden Malware und überprüfen Sie, ob solche Events von Defender generiert wurden.

norm_id=WinServer event_id=1116 event_source="Microsoft-Windows-Windows Defender"
(threat_name IN ["Exploit:Script/Exmann.A!dha", "Behavior:Win32/Exmann.A", "Backdoor:ASP/SecChecker.A",
"Backdoor:JS/Webshell", "Trojan:JS/Chopper!dha", "Behavior:Win32/DumpLsass.A!attk", "Backdoor:HTML/TwoFaceVar.B"] OR
threat IN ["Exploit:Script/Exmann.A!dha", "Behavior:Win32/Exmann.A", "Backdoor:ASP/SecChecker.A",
"Backdoor:JS/Webshell", "Trojan:JS/Chopper!dha", "Behavior:Win32/DumpLsass.A!attk", "Backdoor:HTML/TwoFaceVar.B"])

HAFNIUM verwendet Invoke-PowerShellTcpOneLine von Nishang, einen einfachen, einzeiligen PowerShell-Reverse-Shell-Befehl, den Sie mithilfe der Events für die Prozesserzeugung suchen können.

norm_id=WindowsSysmon label="Process" label=Create
image IN ["*powershell.exe", "*powershell_ise.exe"]command="*$client = New-Object System.Net.Sockets.TCPClient*"
Similarly, the use of PowerCat can also be detected by using process creation events.
norm_id=WindowsSysmon label="Process" label=Create
image IN ["*cmd.exe", "*powershell.exe", "*powershell_ise.exe"]command="*https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1*"

Zudem hat HAFNIUM das Exchange PowerShell Snap-in eingesetzt, das für den Export von Postfach-Daten genutzt werden kann. Dies können Sie anhand der Events für die Prozesserzeugung entweder in Sysmon oder in den nativen Event-Logdaten sehr leicht erkennen.

norm_id=WindowsSysmon label="Process" label=Create
image IN ["*cmd.exe", "*powershell.exe", "*powershell_ise.exe"]command="*Add-PSSnapin Microsoft.Exchange.Powershell.Snapin*"

Volexity und FireEye haben auch die IoC-IP-Adressen offengelegt, die von Bedrohungsakteuren verwendet werden, um die Zero-Day-Schwachstellen auszunutzen. So können Administratoren einen unternehmensweiten IoC-Sweep initiieren, um festzustellen, ob ihre Exchange-Server kompromittiert wurden.

(source_address IN ["103.77.192.219", "104.140.114.110", "104.250.191.110", "108.61.246.56", "149.28.14.163", "157.230.221.198",
"167.99.168.251", "185.250.151.72", "192.81.208.169", "203.160.69.66", "211.56.98.146", "5.254.43.18", "80.92.205.81", "165.232.154.116", "182.18.152.105", "89.34.111.11", "86.105.18.116"]OR destination_address IN ["103.77.192.219", "104.140.114.110", "104.250.191.110", "108.61.246.56", "149.28.14.163",
"157.230.221.198", "167.99.168.251", "185.250.151.72", "192.81.208.169", "203.160.69.66", "211.56.98.146", "5.254.43.18", "80.92.205.81", "165.232.154.116", "182.18.152.105", "89.34.111.11", "86.105.18.116"])

Wie Huntress und FireEye feststellten, löschten die Bedrohungsakteure nach der Ausnutzung der Schwachstellen den Administrator-Account aus der Gruppe „Exchange Organizations Administrators“ via Net Command. Dies können Sie ebenfalls sehr leicht erkennen.

norm_id=WindowsSysmon label="Process" label=Create image IN ["*net.exe", "*net1.exe"] command="*net*group *Exchange Organization Administrators* /del*"

Florian Roth von Nextron System hat eine Sigma-Regel für die Suche nach Exchange-Exploitation-Artefakten veröffentlicht, die von HAFNIUM hinterlassen werden.

(request_method=POST ((url="*/owa/auth/Current/themes/resources/*" OR resource="*/owa/auth/Current/themes/resources/*")
OR ((url="*/owa/auth/Current/*" OR resource="*/owa/auth/Current/*")
user_agent IN ['DuckDuckBot/1.0;+(+http://duckduckgo.com/duckduckbot.html)',
'facebookexternalhit/1.1+(+http://www.facebook.com/externalhit_uatext.php)',
'Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)',
'Mozilla/5.0+(compatible;+Bingbot/2.0;++http://www.bing.com/bingbot.htm)',
'Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html',
'Mozilla/5.0+(compatible;+Konqueror/3.5;+Linux)+KHTML/3.5.5+(like+Gecko)+(Exabot-Thumbnails)',
'Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp)',
'Mozilla/5.0+(compatible;+YandexBot/3.0;++http://yandex.com/bots)',
'Mozilla/5.0+(X11;+Linux+x86_64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/51.0.2704.103+Safari/537.36'])
OR ((url="*/ecp/*" OR resource="*/ecp/*")
user_agent IN ['ExchangeServicesClient/0.0.0.0', 'python-requests/2.19.1', 'python-requests/2.25.1'])
OR (((url="*/owa/*" OR resource="*/owa/*") OR (url="*/aspnet_client/*" OR resource="*/aspnet_client/*"))
user_agent IN ['antSword/v2.1', 'Googlebot/2.1+(+http://www.googlebot.com/bot.html)',
'Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)'])
OR (url IN ["*/owa/auth/Current/*", "*/ecp/default.flt*", "*/ecp/main.css*"]OR resource IN ["*/owa/auth/Current/*", "*/ecp/default.flt*", "*/ecp/main.css*"])
OR (url="*/ecp/*.js*" OR resource="*/ecp/*.js*")))

Fazit

Bisher ließ sich feststellen, dass nur wenige auf Spionage ausgerichtete Bedrohungsakteure diese Zero-Day-Schwachstellen auf Exchange-Servern ausnutzen. Wir erwarten jedoch, dass finanziell motivierte Akteure diese Zero-Day-Sicherheitslücken im Laufe der Zeit in ihr Arsenal aufnehmen werden. Noch im März hat Microsoft Exchange Server 2016 CU 20 und Exchange Server 2019 CU 9 mit den Sicherheitsupdates für diese Zero-Day-Schwachstellen veröffentlicht. Wir empfehlen Systemadministratoren dringend, ihre Exchange-Server umgehend zu patchen.

 

Zudem wurde berichtet, dass einige Unternehmen nach den Patch-Prozessen für ihre Server festgestellt haben, dass diese bereits zuvor kompromittiert worden waren und die Bedrohungsakteure schon Persistenz aufgebaut hatten. Administratoren sollten berücksichtigen, dass Bedrohungsakteure die bereits erreichte Persistenz auf infizierten Systemen trotz der Patches aufrechterhalten können.