Sicherheitsforscher warnen vor bisher unbekannten Schwachstellen in vollständig gepatchten Microsoft Exchange-Servern, die von böswilligen Akteuren in realen Angriffen ausgenutzt werden, um Remote-Code-Ausführung auf den betroffenen Systemen zu erreichen.
Das berichtet das vietnamesische Cybersicherheitsunternehmen GTSC, das die Schwachstellen im August 2022 im Rahmen seiner Sicherheitsüberwachung und der Reaktion auf Vorfälle entdeckt hat.
Die beiden Schwachstellen, denen offiziell noch keine CVE-Kennungen zugewiesen wurden, werden von der Zero Day Initiative als ZDI-CAN-18333 (CVSS-Score: 8.8) und ZDI-CAN-18802 (CVSS-Score: 6.3) verfolgt.
Laut GTSC kann eine erfolgreiche Ausnutzung der Schwachstellen dazu missbraucht werden, in die Systeme des Opfers einzudringen, so dass Angreifer Web-Shells absetzen und laterale Bewegungen in dem kompromittierten Netzwerk durchführen können.
„Wir stellten fest, dass meist verschleierte Webshells auf Exchange-Servern abgelegt wurden“, so das Unternehmen. „Anhand des User-Agents konnten wir feststellen, dass der Angreifer Antsword verwendet, ein aktives, auf China basierendes, plattformübergreifendes Open-Source-Tool zur Verwaltung von Websites, das die Verwaltung von Webshells unterstützt.
Die Exploit-Anfragen in den IIS-Protokollen haben das gleiche Format wie die ProxyShell-Schwachstellen im Exchange-Server. GTSC stellt fest, dass die betroffenen Server bereits gegen die im März 2021 bekannt gewordenen Schwachstellen gepatcht wurden.
Das Cybersicherheitsunternehmen vermutet, dass die Angriffe wahrscheinlich von einer chinesischen Hackergruppe ausgehen, da die Web-Shell in vereinfachtem Chinesisch kodiert ist (Windows Code Seite 936).
Bei den Angriffen wird auch die China Chopper Web Shell eingesetzt, eine leichtgewichtige Backdoor, die dauerhaften Fernzugriff gewährt und es Angreifern ermöglicht, sich jederzeit wieder einzuloggen, um weitere Angriffe durchzuführen.
Es ist erwähnenswert, dass die China Chopper Web Shell auch von Hafnium eingesetzt wurde, einer mutmaßlich staatlich gesponserten Gruppe, die von China aus operiert, als die ProxyShell-Schwachstellen im letzten Jahr auf breiter Front ausgenutzt wurden.
Weitere von GTSC beobachtete Aktivitäten nach der Ausnutzung umfassen das Einschleusen bösartiger DLLs in den Speicher, das Ablegen und Ausführen zusätzlicher Nutzdaten auf den infizierten Servern mithilfe des WMI-Befehlszeilendienstprogramms (WMIC).
Nach Angaben des Unternehmens wurde mindestens eine Organisation Opfer einer Angriffskampagne, die die Zero-Day-Schwachstellen ausnutzt. Weitere Details zu den Fehlern wurden angesichts der aktiven Ausnutzung zurückgehalten.
Wir haben Microsoft um weitere Kommentare gebeten und werden den Artikel aktualisieren, sobald wir eine Antwort erhalten.
In der Zwischenzeit empfiehlt es sich, mit dem Modul URL Rewrite Rule für IIS-Server eine Regel zum Blockieren von Anfragen, die auf eine Gefährdung hindeuten, hinzuzufügen.
Wähle in Autodiscover im FrontEnd den Reiter URL Rewrite und dann Request Blocking
Füge den String „.*autodiscover\.json.*\@.*Powershell.*“ zum URL-Pfad hinzu, und
Bedingung eingeben: Wähle {REQUEST_URI}
„Ich kann bestätigen, dass eine beträchtliche Anzahl von Exchange-Servern hinters Licht geführt wurde – einschließlich eines Honeypots“, sagte der Sicherheitsforscher Kevin Beaumont in einer Reihe von Tweets und fügte hinzu: „Es sieht wieder nach einer Variante des Proxys zur Admin-Oberfläche aus.“
„Wenn du Microsoft Exchange nicht vor Ort betreibst und die Outlook Web App nicht mit dem Internet verbunden hast, bist du nicht betroffen“, so Beaumont.