BM21-001, BM21-002: Sårbara Microsoft Exchange-servrar

Blixtmeddelande Exchange 0-day RCE

Angripare söker just nu efter Microsoft Exchange-servrar som är drabbade av kritiska, tidigare okända, sårbarheter. Utöver tidigare kända riktade angrepp exploateras nu sårbarheterna brett. Exploatering kan innebära att en angripare får systemrättigheter och kan fjärrexekvera skadlig kod. Undersök era system nu!

Flera aktörer rapporterar att angrepp riktas mot såväl offentliga som privata aktörer. Det finns anledning att tro att angreppen även kan ha automatiserats. [5,6]

Microsoft patchar sju sårbarheter. Enligt Microsoft kan sårbarheterna CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 samt CVE-2021-27065 knytas till kända angrepp. Säkerhetsuppdateringarna hanterar även sårbarheterna CVE-2021-26412, CVE-2021-26854 samt CVE-2021-27078. [1]

I observerade fall har angripare utnyttjat sårbarheterna för att komma åt e-postkonton och installerat ytterligare skadlig kod för långsiktig åtkomst till drabbades miljöer [2]. Angreppen nyttjade initialt tillgång till port 443 på Exchange-servern. De fyra sårbarheterna som kan knytas till kända angrepp användes i en attackkedja för att fjärrexekvera kod och tillskansa sig rättigheter för systemanvändare. Angriparen utnyttjade åtkomsten för att installera ett webshell. [3]

Det är sannolikt att även övriga delar av nätverket är angripet om intrång har skett i en Exchange-server. Angreppet kan i förlängningen sannolikt leda till ytterligare skadliga aktiviteter, så som installation av utpressningsmjukvara, om inte åtgärder vidtas.

Påverkade produkter

Sårbarheterna påverkar följande versioner av Microsoft Exchange [1]:

Microsoft Exchange 2013
Microsoft Exchange 2016
Microsoft Exchange 2019

Säkerhetsuppdateringar finns även tillgängliga Microsoft Exchange 2010 för defence-in-depth. Microsoft Exchange Online är ej påverkad. [1]

Uppdatering 2021-03-09

Microsoft har släppt ytterligare en serie säkerhetsuppdateringar som kan tillämpas på en uppsättning äldre (“out of support”) Exchange Cumulative Updates (CUs) [11].

För de organisationer som av någon anledning inte kan uppdatera Exchange-servrarna omedelbart har Microsoft släppt instruktioner med mitigerade åtgärder av sårbarheterna genom omkonfigurering. Dessa kan också vara relevant att genomföra för organisationer som inte har nya versioner och/eller de relaterade specifika säkerhetsuppdateringarna. [12]

Uppdatering 2021-03-12

Det finns indikationer på att hotaktörer nu attackerar Microsoft Exchange-servrar med ransomware. Det skadliga programmet heter ‘DEARCRY’ och kan installeras på Microsoft Exchange-servrar som hackats till följd av ProxyLogon-sårbarheterna. [13]

Uppdatering 2021-03-15

Microsofts säkerhetsteam bekräftar nu att de upptäckt och blockerat en ny grupp ransomware (kallat Ransom:Win32/DoejoCrypt.A, eller DearCry.) som använts mot icke-patchade Exchange-servrar [14]. CISA har uppdaterat sina rekommendationer gällande ransomware och har även identifierat sju webbshells som förknippas med DearCry. CISA publicerar ett antal analysrapporter kopplat till dessa, se till att ta del av informationen i dessa rapporter omgående [15, 16].

Uppdatering 2021-03-18

Microsoft har släppt ett verktyg, “One-Click Microsoft Exchange On-Premises Mitigation Tool”, som ska hjälpa företag och organisationer att mitigera de kända sårbarheterna. Verktyget ska inte ses som en ersättning för den normala patch-processen utan är mer ett snabbt och enkelt sätt att mitigera de högsta riskerna för internetanslutna lokala Exchange Servrar innan patchning och fullständig genomgång av miljön kan göras. [17]

Uppdatering 2021-03-19

CISA har släppt ett nytt verktyg, CHIRP, för att samla in forensisk information. Det är utvecklat för att hitta indikatorer på kompromettering (IOC:er) för angrepp associerade med Solarwinds och Active Directory/M365. CHIRP är gratis tillgängligt på CISA:s github repo och kan hjälpa personer som arbetar med att skydda nätverk. [18, 19]

Uppdatering 2021-03-26

CISA har släppt två nya rapporter om skadlig programvara, som informerar om ett webbshell som observerats i Microsoft Exchange. Om Exchange-sårbarheten utnyttjats kan en angripare ladda upp ett webbshell för att kunna fjärrstyra det drabbade systemet. [20]

Rekommendationer

CERT-SE vill understryka att det inte är tillräckligt att endast installera säkerhetsuppdateringarna. Alla verksamheter bör även undersöka sina system efter tecken på intrång. CERT-SE ser det som sannolikt att sårbarheterna kommer utnyttjas riktat mot svenska verksamheter och tar tacksamt emot information om fall där så skett.

Skanningar efter sårbara system sker aktivt och funna system har även utnyttjats. CERT-SE rekommenderar starkt att installera säkerhetsuppdateringar snarast möjligt. Microsofts rekommendation är att börja uppdateringen med de servrar som exponeras mot internet [1] men alla servrar måste uppdateras. Spara alla slags nätverks- och systemloggar innan de skrivs över.

Arbetet är inte klart i och med att uppdateringen är utförd. Var medvetna om att det vid ett angrepp på en Exchange-server kan ha installerats skadlig kod på systemet. Det kan också ha resulterat i att adressböcker samt mejllådors innehåll har stulits. Vi rekommenderar att it-ansvariga bildar sig en uppfattning om konsekvenserna som kan ha uppstått och kontinuerligt uppdaterar sig om de råd som ges. Det har publicerats ytterligare tekniska detaljer om bristerna och hur de kan upptäckas [2,3,4,7,8,9,10].

Överväg att isolera servrar från nätverket, men stäng inte av dem, i väntan på att de har undersökts och uppdaterats. Det är av stor vikt att ni undersöker huruvida servrar i era nätverk har utnyttjats för de aktuella sårbarheterna. Skulle ni finna tecken på utnyttjande så antag genast att även övriga system i nätverket är angripna.

En god början är att följa stegen under rubriken “Can I determine if I have been compromised by this activity?” på webbsidan [2].

Ni kan med fördel använda verktyget KAPE i er it-forensiska analys. Ta hjälp av it-forensisk specialist om ni behöver hjälp i er vidare analys.

I och med att mejllådor och adressböcker stjäls behöver personuppgiftsincidenter och informationsläckage utredas.

Indikatorer

Följande Windows Defender-larm kan indikera intrång. Observera att larmen inte är unika för det här specifika angreppet [1,9]:

Exploit:Script/Exmann.A!dha
Behavior:Win32/Exmann.A
Backdoor:ASP/SecChecker.A
Backdoor:JS/Webshell (not unique)
Trojan:JS/Chopper!dha (not unique)
Behavior:Win32/DumpLsass.A!attk (not unique)
Backdoor:HTML/TwoFaceVar.B (not unique)

Namn på webshell [1]:

web.aspx
help.aspx
document.aspx
errorEE.aspx
errorEEE.aspx
errorEW.aspx
errorFF.aspx
healthcheck.aspx
aspnet_www.aspx
aspnet_client.aspx
xx.aspx
shell.aspx
aspnet_iisstart.aspx
one.aspx

Webshellhashar [1,7]:

b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0
097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e
2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1
65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5
511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1
4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea
811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944

Webshell på någon av följande platser [1]:

C:\inetpub\wwwroot\aspnet_client\
C:\inetpub\wwwroot\aspnet_client\system_web\

Följande Microsoft Exchange Server installationsfiler[1]:

%PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
C:\Exchange\FrontEnd\HttpProxy\owa\auth\

Källor

[1] https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

[2] https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

[3] https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/

[4] https://github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange.nse

[5] https://twitter.com/ESETresearch/status/1366862948057178115

[6] https://twitter.com/GossiTheDog/status/1367116774504857607

[7] https://us-cert.cisa.gov/ncas/alerts/aa21-062a

[8] https://us-cert.cisa.gov/ncas/current-activity/2021/03/03/cisa-issues-emergency-directive-and-alert-microsoft-exchange

[9] https://webcastdiag864.blob.core.windows.net/2021presentationdecks/Exchange%20Server%20Out%20of%20Band%20March%202021.pdf

[10] https://github.com/microsoft/CSS-Exchange/tree/main/Security

[11] https://techcommunity.microsoft.com/t5/exchange-team-blog/march-2021-exchange-server-security-updates-for-older-cumulative/ba-p/2192020

[12] https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/

[13] https://www.bleepingcomputer.com/news/security/ransomware-now-attacks-microsoft-exchange-servers-with-proxylogon-exploits/

[14] https://twitter.com/MsftSecIntel/status/1370236539427459076

[15] https://us-cert.cisa.gov/ncas/alerts/aa21-062a

[16] https://www.cisa.gov/ransomware

[17] https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/

[18] https://us-cert.cisa.gov/ncas/current-activity/2021/03/18/using-chirp-detect-post-compromise-threat-activity-premises

[19] https://github.com/cisagov

[20] https://us-cert.cisa.gov/ncas/current-activity/2021/03/25/webshells-observed-post-compromised-exchange-servers