ESET Customer Advisory 2021-0004
11. März 2021
Schweregrad: Kritisch
Zusammenfassung
Am 2. März 2021 veröffentlichte Microsoft Informationen über kritische Sicherheitslücken in seinen Exchange Servern 2013, 2016 und 2019. Diese Schwachstellen ermöglichen es einem entfernten Angreifer, die Kontrolle über jeden Exchange Server zu übernehmen, der über das Internet erreichbar ist, ohne irgendwelche Zugangsdaten zu kennen. Gleichzeitig hat Microsoft auch Patches für diese Schwachstellen veröffentlicht und ESET rät dringend dazu, diese so schnell wie möglich zu installieren.
Details
Die Art der Schwachstellen ermöglicht die Installation einer Webshell auf dem Server, die dann als Einstiegspunkt für die Installation weiterer Malware dienen kann. ESET Security-Produkte erkennen die folgenden Webshells und Backdoors, die bei der Ausnutzung verwendet werden:
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
Angesichts der hohen Ausnutzbarkeit und der Tatsache, dass mehrere Bedrohungsakteure das Internet aktiv nach ausnutzbaren Servern durchsuchen, ist davon auszugehen, dass die meisten zum Internet offenen Server kompromittiert worden sein könnten. Um eine weitere Ausnutzung zu verhindern, ist es notwendig, die verfügbaren Updates, die von Microsoft bereitgestellt werden, so schnell wie möglich zu installieren.
Weitere tiefgreifende Analysen und Details zur Behebung eines kompromittierten Servers finden Sie im WeLiveSecurity-Blogbeitrag von ESET unter https://www.welivesecurity.com/deutsch/2021/03/10/exchange-server-werden-von-mindestens-10-apt-gruppen-angegriffen/.
Hinweis: Eine der Sicherheitslücken betrifft auch Exchange Server 2010. Es ist nicht der erste Schritt in der Angriffskette, aber es wurde ein Patch für Defense-in-Depth-Zwecke herausgegeben. Es wird dennoch empfohlen, eine mögliche Ausnutzung zu untersuchen.
Feedback & Support
Wenn Sie Feedback oder Fragen zu diesem Problem haben, kontaktieren Sie uns bitte über das ESET Security Forum oder über den lokalen ESET Support.
Resources
- Exchange Server werden von mindestens 10 APT‑Gruppen angegriffen — ESET’s WeLiveSecurity Blogeintrag
- ESET Research’s initial tweets
- Does ESET protect me from the Hafnium zero-day exploit in Microsoft Exchange? — ESET Knowledgebase-Artikel
- CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 — Details zur Sicherheitslücke im Microsoft Security Response Center
- HAFNIUM targeting Exchange Servers with 0-day exploits — Microsoft Security Blogeintrag
- Multiple Security Updates Released for Exchange Server — Microsoft Security Response Center Blogeintrag
- Microsoft Exchange Server Vulnerabilities Mitigations — Microsoft Security Response Center Blogeintrag
- March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server — Exchange Team Blogeintrag in der Microsoft Tech Community
Versionshistorie
Version 1.0 (11. März 2021): Erste Version dieses Artikels