[CA7862] Microsoft Exchange-Schwachstellen entdeckt und aktiv ausgenutzt

ESET Customer Advisory 2021-0004
11. März 2021
Schweregrad: Kritisch

Zusammenfassung

Am 2. März 2021 veröffentlichte Microsoft Informationen über kritische Sicherheitslücken in seinen Exchange Servern 2013, 2016 und 2019. Diese Schwachstellen ermöglichen es einem entfernten Angreifer, die Kontrolle über jeden Exchange Server zu übernehmen, der über das Internet erreichbar ist, ohne irgendwelche Zugangsdaten zu kennen. Gleichzeitig hat Microsoft auch Patches für diese Schwachstellen veröffentlicht und ESET rät dringend dazu, diese so schnell wie möglich zu installieren.

Details

Die Schwachstellen wurden ursprünglich am 5. Januar 2021 an Microsoft gemeldet. Berichten zufolge wurden sie jedoch bereits am 3. Januar 2021 aktiv ausgenutzt. ESET hat festgestellt, dass bereits mehr als 5000 Server auf der ganzen Welt von verschiedenen Angreifern, vorwiegend APT-Gruppen (Advanced Persistent Threat), kompromittiert wurden.

Die Art der Schwachstellen ermöglicht die Installation einer Webshell auf dem Server, die dann als Einstiegspunkt für die Installation weiterer Malware dienen kann. ESET Security-Produkte erkennen die folgenden Webshells und Backdoors, die bei der Ausnutzung verwendet werden:
  • JS/Exploit.CVE-2021-26855.Webshell.A
  • JS/Exploit.CVE-2021-26855.Webshell.B
  • ASP/Webshell
  • ASP/ReGeorg

Angesichts der hohen Ausnutzbarkeit und der Tatsache, dass mehrere Bedrohungsakteure das Internet aktiv nach ausnutzbaren Servern durchsuchen, ist davon auszugehen, dass die meisten zum Internet offenen Server kompromittiert worden sein könnten. Um eine weitere Ausnutzung zu verhindern, ist es notwendig, die verfügbaren Updates, die von Microsoft bereitgestellt werden, so schnell wie möglich zu installieren.

Durch das Installieren der Patches werden jedoch bereits angegriffene Server nicht gereinigt. Es ist daher notwendig, eine Untersuchung durchzuführen und in der Umgebung nach Resten der Kompromittierung und Malware oder Malware-Spuren zu suchen sowie die Zugangsdaten zu ändern.

Weitere tiefgreifende Analysen und Details zur Behebung eines kompromittierten Servers finden Sie im WeLiveSecurity-Blogbeitrag von ESET unter https://www.welivesecurity.com/deutsch/2021/03/10/exchange-server-werden-von-mindestens-10-apt-gruppen-angegriffen/.

Hinweis: Eine der Sicherheitslücken betrifft auch Exchange Server 2010. Es ist nicht der erste Schritt in der Angriffskette, aber es wurde ein Patch für Defense-in-Depth-Zwecke herausgegeben. Es wird dennoch empfohlen, eine mögliche Ausnutzung zu untersuchen.

Feedback & Support

Wenn Sie Feedback oder Fragen zu diesem Problem haben, kontaktieren Sie uns bitte über das ESET Security Forum oder über den lokalen ESET Support.

Resources

Versionshistorie

Version 1.0 (11. März 2021): Erste Version dieses Artikels

Zusätzliche Hilfestellung