Microsoft Exchange-Schwachstellen

Barracuda entdeckt verstärktes Sondieren nach Microsoft Exchange-Schwachstellen

Druckfreundlich, PDF & E-Mail

Am 2. März 2021 veröffentlichte Microsoft einen Out-of-Band-Patch für mehrere Zero-Day-Schwachstellen auf dem Exchange Server. Die ausgenutzten Sicherheitslücken lauteten: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065.

CVE-2021-26855 ist eine Schwachstelle in Form eines Server-Side Request Forgery (SSRF) auf dem Microsoft Exchange Server. Es handelt sich dabei um einen Exploit, bei dem der Angreifer willkürliche HTTP-Anfragen sendet und sich als Exchange Server authentifiziert. Nach öffentlich zugänglichen Informationen wird die Schwachstelle CVE-2021-26855 zur Ermittlung anfälliger Systeme ausgenutzt. Die übrigen Schwachstellen scheinen daran anzuknüpfen: Der Angreifer verschafft sich Zugang, um weitere Exploits durchzuführen, wie etwa das Einschleusen von Webshells in die ausgenutzten Systeme.

Barracuda-Experten haben weltweit seit Beginn des Monats einen Anstieg von Probing-Angriffen bei der Schwachstelle CVE-2021-26855 über unsere Sensoren bzw. in unseren Deployments verzeichnet. Am 1. März wurden zunächst wenige Probing-Angriffe gemessen; der Traffic ist seither gestiegen.

Das Bedrohungsforschungsteam von Barracuda hat schnell reagiert und eine Methode zur Abwehr dieses Angriffs auf Barracuda WAF und Barracuda WAF-as-a-Service entwickelt.

Microsoft Exchange-Schwachstellen

Diese URLs und UserAgents führen die Liste an

Nach eingehender Untersuchung der Daten stellten unsere Forscher fest, dass es sich bei einem Großteil der Angriffe um Ausforschungsversuche handelte. Davon richtete sich eine beträchtliche Anzahl gegen Systeme, die Exchange nicht im Backend ausführten. Das Team von Microsoft und eine Reihe weiterer Organisationen haben eine Liste mit URLs veröffentlicht, die von den Angreifern getestet werden. Ähnliche Probing-Versuche konnten wir auch über unsere Sensoren feststellen. Bei folgenden fünf URLs wurden am häufigsten Probing-Versuche durchgeführt:

  • /owa/auth/x.js
  • /ecp/y.js
  • /ecp/program.js
  • /ecp/x.js
  • //ecp/x.js

Microsoft Exchange sondierte URLs

Bei einem Großteil dieser Probing-Versuche dürften die X-AnonResource-Backend- sowie die X-BEResource-Cookies mit der Parameterendung „?~3“ eingesetzt worden sein, die im Script für Sicherheitslücken-Scans von Microsoft aufgelistet wurden.

Die drei am häufigsten verwendeten UserAgents dieser Scanner sind:

  • ExchangeServicesClient
  • python-requests
  • nmap

Die Untersuchungsergebnisse der Barracuda-Forscher decken sich großteils mit jenen Erkenntnissen, die von anderen Branchenexperten vermeldet wurden. Allerdings konnten wir auch eine große Anzahl von Scannern identifizieren, die auf Standard-Browser-Header abzielten.

Microsoft Exchange-Schwachstellen

Erhöhtes Aufkommen von Scans anderer Schwachstellen

In letzter Zeit sind eine ganze Reihe eklatanter Schwachstellen aufgetreten, wobei Solarwinds, VMware und Microsoft erst kürzlich als Leidtragende im Rampenlicht standen. Im Falle von VMware wurden CVE-2021- 21972 und CVE-2021-21973 am 24. Februar 2021 veröffentlicht. Holistisch betrachtet nahm dabei die Anzahl der Schwachstellen-Scans seit dem 24. Februar konstant zu, wie unsere Forscher berichteten.

Scans nach Schwachstellen

Schutz gegen Exploit-Versuche von Schwachstellen auf Exchange

Barracuda WAF und WAF-as-a-Service können so konfiguriert werden, dass Scans und potenzielle Exploit-Versuche unterbunden werden. Das gilt sowohl für die Schwachstellen von Exchange als auch für jene bei VMware. Wenn Sie bereits Kunde von Barracuda WAF oder WAF-as-a-Service sind, wenden Sie sich bitte an unser Support-Team. Wir unterstützen Sie gerne bei der Einrichtung und Validierung dieser Konfiguration.

Derzeit gehen wir davon aus, dass diese Bedrohungsakteure noch einige Wochen lang verstärkt Schwachstellen scannen und Exploits durchführen werden, bevor es zu einer Abnahme kommt.

Hinsichtlich der Schwachstellen bei Exchange raten wir dringend dazu, Updates und Risikominderungen von Microsoft durchzuführen (mehr dazu in diesem Artikel), um sich vor etwaigen Exploits zu schützen. Die Lösungen von Barracuda bieten ebenfalls entscheidende Sicherheitsebenen, die in Ihren bereitgestellten Anwendungen eingegliedert werden können.

Barracuda CloudGen Access bietet ZTNA und damit eine erweiterte Zugriffskontrolle für Ihre Anwendungen. Barracuda CAP sorgt für umfassende Anwendungssicherheit vor sämtlichen Anwendungsangriffen wie DDoS – unabhängig davon, wo sich Ihre Anwendungen befinden. Unsere leistungsstarken intelligenten Signaturen sowie Sicherheitsfunktionen mit Whitelisting-Ansatz (Positivlisten) ermöglichen einen proaktiven Schutz gegen alle OWASP „Top 10“- und Zero-Day-Angriffe, sodass Ihnen auch während des Patching-Prozesses genug Zeit für die Anwendungssicherheit bleibt.

Das Barracuda-Forschungsteam wird in Kürze weitere Informationen zu diesen Schwachstellen sowie über mögliche Maßnahmen zum Schutz vor Exploits bereitstellen.

Kostenlose Testversion: Schützen Sie Ihre Anwendungen mit einer einfachen Plattform

Nach oben scrollen
Twittern
Teilen
Teilen