von Bhabesh Raj Rai, Security Research

Am 29. September 2022 bestätigte Microsoft Berichte über Angreifer, die zwei Zero-Day-Schwachstellen ausnutzten, die den Microsoft Exchange Server betreffen: CVE-2022-41040 (CVSSv3-Wert von 6,3) und CVE-2022-41082 (CVSSv3-Wert von 8,8). Bei ersterer handelt es sich um eine Server-Side-Request-Forgery-Schwachstelle (SSRF), während die zweite Sicherheitslücke eine Remote Code Execution (RCE) ermöglicht, wenn der Angreifer Zugriff auf die PowerShell hat. Angreifer benötigen authentifizierten Zugriff auf den Exchange-Server, um beide Schwachstellen ausnutzen zu können.

Das vietnamesische Technologie-Unternehmen GTSC entdeckte die Ausnutzung dieser Sicherheitslücken bereits im August und veröffentlichte am 28. September einen Blog-Beitrag mit weiteren Details. Einen Tag später veröffentlichte Microsoft eine Anleitung für Kunden, wie sie diese Bedrohungen erkennen und eindämmen können. Sowohl Microsoft als auch GTSC beobachteten, dass die Cyberkriminellen die gängige Web-Shell „China Chopper“ für die Angriffskette nutzten.

Diese Sicherheitslücken sind den im Jahr 2021 entdeckten ProxyShell-Schwachstellen sehr ähnlich. Der Sicherheitsexperte Kevin Beaumont hat sie aufgrund ihrer Ähnlichkeit zu ProxyShell als ProxyNotShell bezeichnet, wobei der Hauptunterschied darin besteht, dass ProxyNotShell eine Authentifizierung erfordert.

Die Fakten zu ProxyNotShell im Überblick:

  • ProxyNotShell erfordert einen authentifizierten Zugriff auf den Exchange-Server.
  • ProxyNotShell betrifft nur On-Premises-Exchange-Server (2013/2016/2019).
  • Aktuell ist kein Patch verfügbar.
  • Angreifer koppeln die beiden Zero-Day-Exploits, um Web-Shells abzusetzen.
  • Microsoft beobachtete bisher Angriffe auf weniger als zehn Unternehmen weltweit.

So erkennen Sie die Ausnutzung von ProxyNotShell mit Logpoint:

Führen Sie IoC-Sweeps für ProxyNotShell anhand der Logdaten ab August durch.

(source_address IN [137.184.67.33, 125.212.220.48, 5.180.61.17, 47.242.39.92, 61.244.94.85, 86.48.6.69, 86.48.12.64, 94.140.8.48, 94.140.8.113, 103.9.76.208, 103.9.76.211, 104.244.79.6, 112.118.48.186, 122.155.174.188, 125.212.241.134, 185.220.101.182, 194.150.167.88, 212.119.34.11, 206.188.196.77]
destination_address IN [137.184.67.33, 125.212.220.48, 5.180.61.17, 47.242.39.92, 61.244.94.85, 86.48.6.69, 86.48.12.64, 94.140.8.48, 94.140.8.113, 103.9.76.208, 103.9.76.211, 104.244.79.6, 112.118.48.186, 122.155.174.188, 125.212.241.134, 185.220.101.182, 194.150.167.88, 212.119.34.11, 206.188.196.77])
(hash IN [c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1, 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5, b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca, be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257, 074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82, 45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9, 9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0, 29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3, c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2, 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e]
OR hash_sha256 IN [c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1, 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5, b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca, be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257, 074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82, 45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9, 9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0, 29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3, c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2, 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e])

Seit Juni 2021 unterstützt Exchange die Integration des Antimalware-Scan-Interfaces (AMSI). Logpoint empfiehlt Exchange-Administratoren, sicherzustellen, dass alle Updates installiert sind und das AMSI-Scanning funktioniert. Administratoren sollten auch überprüfen, ob sie Exchange-Verzeichnisse aus Performance-Gründen in ihre AV-Ausnahmen aufgenommen haben.

label=Threat label=Detect 
threat IN ["Backdoor:ASP/Webshell.Y", "Backdoor:Win32/RewriteHttp.A", "Backdoor:JS/SimChocexShell.A!dha", "Behavior:Win32/IISExchgDropWebshell.A!dha", "Behavior:Win32/IISExchgDropWebshell.A", "Trojan:Win32/IISExchgSpawnCMD.A", "Trojan:Win32/WebShellTerminal.A", "Trojan:Win32/WebShellTerminal.B"]

Analysten sollten in Ihren Logdaten zur Prozesserzeugung nach Artefakten der Web-Shell „China Chopper“ suchen.

label="Process" label=Create
parent_process="*\w3wp.exe" command IN ["*&ipconfig&echo*", "*&quser&echo*", "*&whoami&echo*", "*&c:&echo*", "*&cd&echo*", "*&dir&echo*", "*&echo [E]*", "*&echo [S]*"]

Zudem raten wir Analysten, nach verdächtigen untergeordneten Prozessen (Kind-Prozessen) von w3wp.exe zu suchen.

label="Process" label=Create parent_process="*\w3wp.exe"
-process IN ["*\WerFault.exe", "*\csc.exe"]
| chart count() by log_ts, user, "process", parent_command, command

Wie in dem Bericht von GTSC erwähnt, haben Angreifer „certutil“ genutzt, um Web-Shells herunterzuladen.

label="Process" label=Create process="*\certutil.exe" 
command IN ["* -urlcache *", "* /urlcache *"]

Sie sollten ebenfalls nach verdächtigen Datei-Erstellungen in PerfLogs oder öffentlichen Verzeichnissen suchen, die Angreifer häufig nutzen, um heruntergeladene Payloads unterzubringen.

norm_id=WindowsSysmon event_id=11
path IN ["C:\Users\Public*", "C:\PerfLogs*", "C:\root*"]

Die Erkennungen für ProxyShell funktionieren auch für ProxyNotShell. Kunden können die bestehenden ProxyShell-Warnmeldungen nutzen, die in den Logpoint Alert Rules zusammengefasst sind. Wie im Microsoft-Blog erwähnt, nutzten die Angreifer die Web-Shell „China Chopper“ für die Identifizierung und Erkundung des Angriffsziels (AD-Reconnaissance). Die Alert Rules-Anwendung von Logpoint deckt die erforderlichen TTPs ab.

Sofortige Abhilfe und Schadensbegrenzung

Logpoint empfiehlt Exchange-Administratoren, so schnell wie möglich jede der drei Optionen für die Schadensbegrenzung, die Microsoft in der Anleitung zum Umgang mit ProxyNotShell bereitgestellt hat, zu prüfen und anzuwenden. Microsoft hat zudem ein Skript veröffentlicht, um die Abhilfemaßnahmen für den SSRF-Angriffsvektor CVE-2022-41040 für betroffene Exchange-Server umzusetzen.

Analysten sollten auf Exploit-Versuche achten – zumindest solange bis Microsoft Patches für ProxyNotShell veröffentlicht. Wir empfehlen Analysten, kontinuierlich nach Web-Shells Ausschau zu halten, da die Erkennung von Post-Exploitation-Aktivitäten dazu beitragen kann, Zero-Day- oder N-Day-Schwachstellen aufzudecken.

Wir werden diesen Blog-Beitrag aktualisieren, wenn sich die Situation weiterentwickelt.

Contact Logpoint

Contact us and learn why
industry-leading companies
choose Logpoint:

Contact Logpoint