Barracuda Networks über Exchange-Server-Angriffe

Angreifer nutzen SSRF-Schwachstelle aus

22. März 2021, 12:00 Uhr | Dr. Klaus Gheri/am
© Barracuda

Seit vergangener Woche geht ein Aufschrei durch die Gemeinde der Exchange-E-Mail-Server-Betreiber, nachdem Microsoft bekanntgab, dass eine Cybercrime-Gruppe, bekannt als Hafnium, ihre Angriffskampagne startete. Sie nutzte die Schwachstellen um die Outlook-Web-Access-Schnittstelle von Microsoft Exchange aus.

Entsprechend drastisch sind die Schlagzeilen, die seitdem zu lesen sind. Im Allgemeinen seien Unternehmen in ganz Deutschland betroffen, im Speziellen mehrere Bundesbehörden, darunter das Umweltbundesamt, das daraufhin sein komplettes E-Mail-System in Quarantäne schickte, oder das Paul-Ehrlich-Institut.

Doch ganz so neu ist diese Kampagne nicht. Denn jüngste Untersuchungen haben ergeben, dass die Angriffe bereits seit über zwei Monaten stattfinden. Dennoch haben sie massive Auswirkungen und trafen weltweit bisher rund 60.000 Ziele. Hier kommen die Fragen auf, was dahinter steckt und was können Organisationen dagegen unternehmen können.

Exchange-Übernahme in anfälligen Systemen

Die ausgenutzten Sicherheitslücken waren CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065. CVE-2021-26855 ist eine SSRF-Schwachstelle (Server-Side Request Forgery) in Exchange, die es dem Angreifer ermöglicht, beliebige HTTP-Anfragen zu senden und sich als Exchange-Server zu authentifizieren. CVE-2021-26855 ist bevorzugt in Verwendung, um anfällige Systeme zu identifizieren. Die übrigen Schwachstellen scheinen mit dieser Schwachstelle verkettet zu sein, um weitere Exploits auszuführen, darunter sogenannte Webshells. Eine Webshell ist eine böswillige Web-basierte Schnittstelle, die den Remote-Zugriff und die Steuerung auf einen Web-Server ermöglicht, indem beliebige Befehle ausgeführt sind. Die Security-Analysten von Barracuda konnten seit Märzbeginn eine anfangs moderate und später deutliche Zunahme an Sondierungsversuchen für CVE-2021-26855 feststellen.

Eine beträchtliche Anzahl davon richtete sich gegen Systeme, auf denen im Backend nicht Exchange lief. Die häufigsten URLs, die die Angreifer sondierten waren:

  • /owa/auth/x.js
  • /ecp/y.js
  • /ecp/program.js
  • /ecp/x.js
  • //ecp/x.js

Anscheinend verwendeten die meisten dieser Probes die Cookies /X-AnonResource-Backend/ und /X-BEResource/. Beide endeten mit dem Parameter /"?~3"./. Das Microsoft-Skript beschreibt diesen zum Scannen von Sicherheitsrisiken. Die von diesen Scannern benutzten User-Agents waren hautsächlich /ExchangeServicesClient, python-requests/ und /nmap/.

Daneben waren aber auch Standard-Browser-Header in Verwendung. Es ist davon auszugehen, dass die Angreifer noch einige Wochen verstärkt nach den genannten Schwachstellen suchen und sie ausnutzen, bevor sich die Attacken auf ein niedrigeres Niveau einpendeln werden.

Anbieter zum Thema

zu Matchmaker+

  1. Angreifer nutzen SSRF-Schwachstelle aus
  2. Erfolglose Angriffe auf Office-365-E-Mail-Umgebungen

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu CooolCase GmbH

Weitere Artikel zu Bedrohungsabwehr

Weitere Artikel zu FIMA

Weitere Artikel zu Cycos AG

Weitere Artikel zu Trekstor

Weitere Artikel zu Giada Technology

Weitere Artikel zu Hisense Germany

Matchmaker+