CSIS

Hafnium og aktive angreb mod Microsoft Exchange servere

08/03/2021 07:09:51

Tirsdag d. 2. Marts 2021 udsendte Microsoft sikkerhedsopdateringer til Microsoft Exchange version 2013, 2016 og 2019. De frigives udenfor almindelig patch-cyklus, idet der er tale om kritiske 0-dags sårbarheder, der aktivt misbruges af en kinesisk APT gruppe som Microsoft har døbt: Hafnium.

Microsofts advarsel findes her:
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

Sårbarhederne har fået tildelt følgende CVE-IDs:
CVE-2021-26855
CVE-2021-26857
CVE-2021-26858
CVE-2021-27065
CVE-2021-24085

Bemærk, at disse sårbarheder udelukkende omfatter "on premise" installationer og IKKE Office365. Hvis du er administrator for en Microsoft Exchange server, som kan tilgås fra Internettet, bør du læse denne artikel grundigt igennem.

Hvad er HAFNIUM?
HAFNIUM er navnet på en kinesisk APT gruppe som anvender hidtil ukendte sårbarheder i Microsoft Exchange Servere. HAFNIUM kompromitterer primært - men ikke udelukkende - Exchange Servere i USA på tværs af en række industrisektorer, herunder forskning, advokatfirmaer, videregående uddannelsesinstitutioner, forsvarsentreprenører, politiske tænketanke og NGO'er. HAFNIUM gør brug af en infrastruktur, som de lejer sig ind i og som kendes som virtual private servers (VPS).

HAFNIUM har tidligere kompromitteret ofre ved at udnytte sårbarheder i servere, der vender mod internettet, og har brugt legitime open-source frameworks som "Covenant" til C&C funktionalitet. Når en server er kompromitteret, så exfiltrerer HAFNIUM typisk data til fildelingssider som MEGA.

For bedre, at forstå de sårbarheder der misbruges i dette angreb, vil vi anbefale at man læser Microsoft's artikel:
HAFNIUM targeting Exchange Servers with 0-day exploits
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

HAFNIUM kompromittering og hændelsesforløb:
Når en Exchange server bliver kompromitteret er bl.a. følgende handlinger blevet udført på serveren af HAFNIUM gruppen:
- Brug af Procdump til at dumpe hukommelsen af LSASS-processen
- Brug af 7-Zip til at komprimere stjålne data til ZIP-filer mhp exfiltrering af data
- Tilføjelse og brug af Exchange PowerShell-snap-ins til at eksportere postkassedata
- Brug af Nishang Invoke-PowerShellTcpOneLine omvendt shell til fjernkontrol
- Download af PowerCat fra GitHub mhp at åbne forbindelse til en ekstern server
- Downloadede Exchange offline adressebog fra kompromitterede systemer

En yderst detaljeret gennemgang af post-exploit (altså aktivitet efter at Microsoft Exchange Serveren er blevet kompromitteret) kan findes på websiden: https://www.huntress.com/blog/rapid-response-mass-exploitation-of-on-prem-exchange-servers?

I kølvandet på offentliggørelsen af disse hændelser, og detaljer om disse 0-dags sårbarheder, er flere kriminelle grupperinger begyndt at misbruge svaghederne til kompromittering af ikke opdaterede og sårbare servere.

Mitigation og detektion
- Sikre, at den relevante patch er blevet installeret, som forhindrer sårbarhederne i at blive udnyttet
- At patche systemet EFTER en kompromittering fjerner IKKE problemet
- Hvis du ser uventet opførsel, eller din opgradering mislykkes, skal du følge dette link, der giver råd om, hvordan du foretager fejlfinding: https://docs.microsoft.com/en-us/exchange/troubleshoot/client-connectivity/exchange-security-update-issues
- Hvis du ikke er sikker på, hvilke patches der er installeret eller ikke installeret på din Microsoft Exchange server, kan du anvende et script som Microsoft har frigivet: https://github.com/dpaulson45/HealthChecker#download

Detektion:
Anvend NMAP og følgende script til at afgøre om din Exchange Server er sårbar:
https://github.com/microsoft/CSS-Exchange/blob/main/Security/http-vuln-cve2021-26855.nse

Microsoft har frigivet en opdatering til Microsoft Safety Scanner (MSERT) som kan anvendes til at detekte forskellige typer webshell, som er observeret i angreb mod Microsoft Exchange servere.

Microsoft Safety Scanner, også kendt som Microsoft Support Emergency Response Tool (MSERT), er et standalone anti-malware værktøj, der inkluderer Microsoft Defender-signaturer til at scanne efter og fjerne malware. Bemærk, at brug af MSERT automatisk vil slette alle fundne webshells. Det bør overvejes om det er ønskeligt i forbindelse med forensic da det kan fjerne potentielle digitale spor.

Hvis du vil lede efter webshells på Microsoft Exchange Servere, uden at de fundne webshells slettes, kan du alternativt anvende følgende Powershell script. som er udviklet af CERT Letland: https://github.com/cert-lv/exchange_webshell_detection

Microsoft har også frigivet et Powershell script som kan anvendes til detektion:
https://github.com/microsoft/CSS-Exchange/tree/main/Security

Microsoft Defender og MSERT vil flagge fundne webshell med følgende detektionsnavne:

- Exploit:Script/Exmann.A!dha
- Behavior:Win32/Exmann.A
- Backdoor:ASP/SecChecker.A
- Backdoor:JS/Webshell
- Trojan:JS/Chopper!dha
- Behavior:Win32/DumpLsass.A!attk
- Backdoor:HTML/TwoFaceVar.B

Hvis du anvender Defender Endpoint i dit windows miljø kan du med fordel udvide "eksklusioner" i dit setup til at scanne servere i dit Microsoft windows miljø som ikke har en selvstændig Defender Endpoint installation. Denne teknik vil også kunne bruges til at finde potentielt kompromitterede servere på tværs af en større installation.

Manuel detektion og indikatorer:
- Child process for C:\Windows\System32\inetsrv\w3wp.exe på Exchange-servere, især cmd.exe
- Filer skrevet til systemet af "w3wp.exe" eller "UMWorkerProcess.exe"
- ASPX-filer, der ejes af SYSTEM brugeren
- Nye, uventede kompilerede ASPX-filer i den temporære ASP.NET filmappe
- Uventet eller mistænkelig Exchange PowerShell SnapIn-anmodning om at eksportere postkasser
- Øget intern SMB trafik fra Exchange Serveren
- Scheduled task/opgave med navnet "Winnet" på Exchange Serveren

Loganalyse:
- Mindst 14 dages HTTP web logs frainetpub\Logs\LogFiles mappen samt underliggende mapper
- Mindst 14 dage af Exchange Control Panel (ECP) logs, fra mappen: Program Files\Microsoft\Exchange Server\v15\Logging\ECP\Server
- Microsoft Windows event logs

Praktiske IoCs (saniteret):
http://p.estonine[.]com/p?e
http://cdn.chatcdn[.]net/p?low
112.66.255[.]71
86.105.18[.]116
77.61.36[.]169
104.248.49[.]97
161.35.76[.]1
139.59.56[.]239
165.232.154[.]116
157.230.221[.]198
182.18.152[.]105

Yderligere tiltag:
- Begræns ekstern adgang til OWA URL: /owa/.
- Begræns ekstern adgang til Exchange Admin Center (EAC)/Exchange Control Panel (ECP) URL: /ecp/.
- Fjern al forbindelse til sårbare Exchange servere, som har Internet adgang, indtil serveren er patchet

- Læs også Microsoft's Exchange Server Vulnerabilities Mitigations:
https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/

For ca. 3 uger siden postede vi en advarsel vedrørende en kritisk sårbarhed i Microsoft Exchange (CVE-2020-0688), som efter et år, endnu ikke er blevet installeret på flere end 150 sårbare Exchange servere i Danmark. Denne sårbarhed er uafhængig af de seneste sårbarheder, men det illustrerer desværre, at mange mindre og mellemstore virksomheder ikke har tilstrækkelig fokus på sikring af Microsoft Exchange servere som f.eks. kan nås via OWA.

CSIS forventer i løbet af de kommende dage at poste oplysninger om Microsoft Exchange Servere i Danmark, som er blevet kompromitteret i disse bølger af angreb, og hvor en webshell er blevet plantet på serveren, som følge af aktivt misbrug af en eller flere af disse friske sårbarheder.

Generelt:
Alle organisationer, der bruger Microsoft Exchange bør forhindre ekstern adgang til port 443 til Exchange servere, eller oprette forbindelse via VPN til at give ekstern adgang til port 443. Dette vil sikre, at kun godkendte og autoriserede brugere, kan oprette forbindelse til tjenesten. Denne handling vil dog kun beskytte mod det første trin i angrebet.

Generelt bør man begrænse eksternt tilgængelige services til et absolut minimum. Et stort antal tilgængelige services øger risikoen for angrebsvektorer mod virksomheden.

Yderligere oplysninger:
https://us-cert.cisa.gov/ncas/alerts/aa21-062a
https://blog.talosintelligence.com/2021/03/threat-advisory-hafnium-and-microsoft.html
https://www.praetorian.com/blog/reproducing-proxylogon-exploit/
http://garwarner.blogspot.com/2021/03/microsoft-exchange-patching-too-late-if.html
https://us-cert.cisa.gov/ncas/current-activity/2021/03/13/updates-microsoft-exchange-server-vulnerabilities

Microsoft "et klik" værktøj til de der bøvler med at patche:
https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/

Analyzing attacks taking advantage of the Exchange Server vulnerabilities
https://www.microsoft.com/security/blog/2021/03/25/analyzing-attacks-taking-advantage-of-the-exchange-server-vulnerabilities/

Du kan nu undersøge om din Microsoft Exchange server, er blandt de som er identificeret som værende kompromitteret, af en af flere webshells  (bagdøre), som vores venner fra Unit211b, har konstateret:
https://checkmyowa.unit221b.com/

 

Newsletter

Sign up

Stay informed.
Get our Cyber Bytes!