Von den Angriffen auf Microsoft Exchange-Server in aller Welt durch die vom chinesischen Staat gesponserte Bedrohungsgruppe Hafnium sind vermutlich über 21.000 Unternehmen betroffen. Die Auswirkungen dieser Angriffe nehmen zu, da die vier Zero-Day-Schwachstellen von neuen Bedrohungsakteuren aufgegriffen werden.
Während die Welt am2. März von diesen kritischen Sicherheitslücken erfuhr, als Microsoft Sicherheitsupdates und Hinweise zur Schadensbegrenzung veröffentlichte, wurde die erste bekannte Ausnutzung dieser Sicherheitslücke Anfang Januar bekannt. Die von Microsoft empfohlenen Updates schützen Unternehmen zwar vor der fortgesetzten oder zukünftigen Ausnutzung dieser bekannten Schwachstellen, aber sie mindern nicht die bereits eingetretenen Sicherheitsrisiken. Und da diese Exchange-Schwachstellen dem Internet ausgesetzt sind, suchen Cyberkriminelle weiterhin eifrig nach ungepatchten Systemen, um sie in noch nie dagewesenem Umfang anzugreifen.
Ich hatte kürzlich die Gelegenheit, mit Alan Sugano, Präsident der ADS Consulting Group, für eine Folge des HIP-Podcasts über die Hafnium-Angriffe zu sprechen. Durch seine Arbeit bei der ADS Consulting Group, einer Support-Organisation für viele kleine und mittelständische Unternehmen mit umfassenden Kenntnissen über Microsoft Exchange, ist Alan Sugano eng in die Patching- und Schadensbegrenzungsmaßnahmen im Zusammenhang mit den Hafnium-Angriffen eingebunden. Als ich mit Alan sprach, diskutierten wir darüber, was genau die Hafnium-Angriffe sind und wie sie unberechtigten Zugriff auf kritische Systeme wie Active Directory (AD) ermöglichen. Außerdem sprach er darüber, wie sich Unternehmen gegen diese Angriffe schützen können.
Wie funktionieren die Hafnium-Angriffe?
Bei den Hafnium-Angriffen handelt es sich um weitgehend automatisierte Angriffe, die auf der Grundlage der uns derzeit vorliegenden Informationen nach ungepatchten Exchange-Servern suchen. Indem sie vier Zero-Day-Schwachstellen ausnutzen, sind die Angreifer in der Lage, aus der Ferne nach Exchange-Servern zu suchen, die dem Internet ausgesetzt sind, um über Outlook Web Access (OWA) Zugriff auf jeden Exchange-Server zu erhalten. Anschließend erstellen sie eine Web-Shell, um den kompromittierten Server aus der Ferne zu steuern, die Daten eines Unternehmens zu stehlen und unbefugten Zugriff auf wichtige Systeme wie AD zu erhalten. Indem sie es auf AD abgesehen haben, können Cyberkriminelle ihre Privilegien erhöhen und seitlich auf andere Systeme und Umgebungen zugreifen.
Wie kann eine Organisation feststellen, ob sie gehackt worden ist?
Einer der wichtigsten Indikatoren für eine Kompromittierung (IOCs) ist das Vorhandensein einer ASPX-Datei, die nicht so aussieht, als ob sie dort sein sollte. Unternehmen können nach diesen Web-Shell-Dateien suchen, indem sie diesen Pfad C:inetpubwwwrootaspnet_clientsystem_web überprüfen. Microsoft hat außerdem verschiedene PowerShell-Skripte für Unternehmen veröffentlicht, mit denen sie verschiedene Ordner auf Hafnium-IOCs überprüfen können und nach welchen Dateinamen sie suchen müssen.
Sobald die ASPX-Datei vorhanden ist, spielt es keine Rolle mehr, ob ein Unternehmen seinen Server gepatcht hat. Wenn die ASPX-Datei vorhanden ist, bedeutet dies, dass die Web-Shell bereits installiert wurde und dass ein Angreifer Zugang zu verwundbaren Systemen hat.
Welche Schritte sollten Unternehmen unternehmen, um zu prüfen, ob sie kompromittiert wurden?
Unternehmen können von mehreren Varianten von Hafnium betroffen sein, und es ist möglich, dass bereits neue Varianten erstellt wurden, die dazu führen, dass die Web-Shell in einem anderen Ordner erscheint, der nicht in den PowerShell-Skripten von Microsoft aufgeführt ist. Aus diesem Grund empfiehlt es sich, den Microsoft Safety Scanner herunterzuladen. Dieser führt einen vollständigen Scan des Exchange Servers eines Unternehmens durch und erkennt Web-Shells, die von kommerzieller Antivirensoftware nicht erkannt werden. Sich auf herkömmliche Antiviren-Software zu verlassen, gibt Ihrem Unternehmen nur ein falsches Gefühl von Sicherheit und macht es angreifbar.
Es ist wichtig zu wissen, dass der Microsoft Safety Scanner während der eigentlichen Überprüfung möglicherweise "infizierte Dateien" findet. Das klingt beängstigend, aber es kann sich auch nur um einen Teil einer Datei handeln, der einem der Muster entspricht, nach denen der Scanner sucht. Um sicherzugehen, dass Ihr Unternehmen nicht infiziert ist, müssen Sie die vollständigen Ergebnisse nach Abschluss des Index-Scans überprüfen. Der Sicherheitsscanner löscht zwar automatisch alle infizierten Dateien, aber es empfiehlt sich, den vollständigen Scan nach dem Neustart des Exchange Servers erneut durchzuführen, um sicherzustellen, dass keine Dateien übersehen wurden.
Welche Abhilfemaßnahmen sollte ein gefährdetes Unternehmen ergreifen?
Wenn der Microsoft Security Scanner eine Web-Shell findet, sollte das Unternehmen auch ScheduledTasks überprüfen, um sicherzustellen, dass keine geplanten Aufgaben vorhanden sind, die VSPerfMon ausführen, das Hintertüren öffnet, die einen dauerhaften Zugang zu den kompromittierten Exchange-Servern ermöglichen. Öffnen Sie dazu eine Eingabeaufforderung auf Exchange Server und führen Sie Schtasks.exe aus. Eine weitere potenzielle Hintertür ist das Vorhandensein eines Image-Pfadschlüssels für einen Opera-Browser, den Angreifer als Methode zum Starten eines Remote-Access-Trojaners verwenden, um die administrative Kontrolle zu ermöglichen. Vor der Entfernung von Hintertüren sollten Unternehmen den OWA-Zugang blockieren, um zu verhindern, dass Angreifer während des Sanierungsprozesses eine weitere Hintertür einschleusen.
Darüber hinaus führt jedes Eindringen in das Netzwerk eines Unternehmens unweigerlich zu AD, da Angreifer auf diese Weise Zugang zu privilegierten Anmeldeinformationen erhalten. Das heißt, wenn AD kompromittiert wird, ist die gesamte Umgebung eines Unternehmens gefährdet. Das Scannen von Systemen auf IOCs und IOEs (Indikatoren für eine Gefährdung) ist ein wichtiger Schritt zur Stärkung der AD-Sicherheit. Eine Sache, die dabei helfen kann und die ich Sicherheitsexperten sehr empfehle, ist Purple Knightein kostenloses Sicherheitsbewertungstool, das AD in Sekundenschnelle auf 59 verschiedene IOEs und IOCs überprüfen kann. Semperis hat außerdem kürzlich Directory Services Protector ( DSP) v3.5 verbessert, mit dem Unternehmen AD kontinuierlich auf Sicherheitsindikatoren vor und nach einem Angriff überwachen und gefährliche Schwachstellen aufdecken können.
Schließlich ist es wichtig, dass Sicherheitsteams sich bewusst darum bemühen, über Neuigkeiten im Zusammenhang mit Hafnium und Exchange Server auf dem Laufenden zu bleiben, insbesondere über neue Entdeckungen von Sicherheitslücken. Der TRUESEC-Blog und der Huntress-Blog sind hervorragende Informationsquellen.
Der Zugriff, der durch die Ausnutzung der Schwachstellen möglich ist, ist erheblich. Wenn Unternehmen schnell handeln, um Web Shells und andere Hintertüren zu entfernen, können sie ihre Daten schützen, bevor Angreifer die Möglichkeit haben, die Daten von kompromittierten Servern auszulesen.
-
Hören Sie sich das vollständige Gespräch über Hafnium-Angriffe mit Sean Deuby, Director of Services bei Semperis, und Alan Sugano, Präsident der ADS Consulting Group, in der neuesten Folge des HIP-Podcasts an.