ProxyShell-Exploits: Microsoft Exchange-Server werden aktiv gehackt

Perfider Angriff auf Exchange-Server: Eine ProxyShell-Schwachstelle in Microsoft Exchange-Server wird derzeit aktiv ausgenutzt, um Hintertüren für einen späteren Zugriff zu installieren. Bekannt sind die Lücken spätestens seit Pwn2Own 2021. Wer einen Microsoft Exchange-Server betreibt und ihn noch nicht aktualisiert hat, sollte das nun schleunigst tun: Laut einem Bericht von Bleeping Computer suchen derzeit noch unbekannte Bedrohungsakteure von IP-Adressen in den USA, im Iran und in den Niederlanden aus nach anfälligen ProxyShell-Geräten. Die Cybersecurity Intelligence-Firma Bad Packets hatte diese Scans entdeckt, was anzeigt, dass jetzt aktiv nach Servern gesucht wird, die sich hacken lassen. Ähnliche Angriffe beziehungsweise deren Vorboten aus der Vergangenheit hatten dazu geführt, dass Hacker die angreifbaren Ziele markierten und später Ransomware oder allgemein Malware installierten und die Schwachstellen für den Datendiebstahl von ungeschützten Servern nutzen. Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im Internet Genau diese Gefahr besteht jetzt auch wieder, jedoch haben sich diversen Sicherheitsforscher der ProxyShell-Schwachstelle gewidmet und viele Informationen zusammengetragen.

Aktive Ausnutzung der Lücke

ProxyShell ist der Name eines Angriff-Szenarios, der gleich drei verkettete Microsoft Exchange-Schwachstellen nutzt, um eine unauthentifizierte Remotecodeausführung durchzuführen. Diese drei Sicherheitslücken (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207) wurden von Orange Tsai beim Hacking-Wettbewerb Pwn2Own 2021 dazu genutzt, einen Microsoft Exchange-Server zu übernehmen. Für alle Schwachstellen gibt es bereits Sicherheits-Updates.

Schon kurz nach der Demonstration des Exploits zeigte sich, dass Bedrohungsakteure nach Microsoft Exchange-Servern scannten, die für ProxyShell anfällig waren. Schließlich kam es zu einer ersten Angriffswelle. Da zeigte sich, dass viele Server trotz der Gefahr nicht gepatcht wurden. Nun gibt es weitere Informationen. Demnach legen die Hacker zunächst eine 265 KB große Webshell-Datei im Ordner "c:\inetpub\wwwroot\aspnet_client\" ihrer Opfer ab. Mithilfe dieser Datei kann dann ein Fernzugriff durchgeführt werden. Zwei ausführbare Dateien - createhidetask.exe und ApplicationUpdate.exe - werden dann verwendet, um eine Hintertür für einen späteren Angriff zu öffnen.

"ApplicationUpdate.exe ist der .NET-Loader, der eine andere .NET-Binärdatei von einem entfernten Server abruft und der derzeit eine gutartige Nutzlast bereitstellt", erklärte der Sicherheitsforscher Rich Warren. Diese Nutzlast wird später durch eine bösartige Nutzlast ersetzt, sobald genügend Server kompromittiert sind.

Betreiber von Microsoft Exchange-Servern sollten prüfen, ob alle verfügbaren Sicherheits-Updates installiert wurden. Zudem lässt sich mithilfe einer Azure Sentinel-Abfrage prüfen, ob die Server schon von Unbekannten nach Schwachstellen hin gescannt wurden.

Download RogueKiller - Malware aufspüren & entfernen Download Malwarebytes Premium, Schutz vor Schadsoftware Siehe auch: