Am Dienstag, den 2. März, veröffentlichte das Microsoft Threat Intelligence Center (MTIC) Details zu einer Kampagne namens Hafnium, die auf lokale Microsoft Exchange Server abzielt. Der Angriff nutzt mehrere 0-Day-Exploits in Exchange und ermöglicht es den Angreifern, die Authentifizierung, einschließlich der Multi-Faktor-Authentifizierung (MFA), zu umgehen, um auf E-Mail-Konten in den Zielunternehmen zuzugreifen und malware aus der Ferne auf anfälligen Microsoft Exchange-Servern auszuführen und den langfristigen Zugriff zu erleichtern.
Der Angriff begann mit einem globalen Scan nach anfälligen externen Microsoft Exchange-Servern. Als ein interessanter Server identifiziert wurde, nutzten die Angreifer einen Zero-Day Server-Side Request Forgery (SSRF) Remote-Exploit, um eine Web-Shell namens China Chopper hochzuladen. Diese Web-Shell ermöglichte es den Angreifern, E-Mail-Daten zu stehlen und potenziell tiefer in die Netzwerkumgebung einzudringen.
Es ist anzumerken, dass diese Sicherheitslücke offenbar keine Auswirkungen auf Microsoft Office 365 hat.
Vectra Kunden mit Detect sollten alle Erkennungen im Zusammenhang mit ihren Exchange-Servern überprüfen. Die in den Angriffen dokumentierte Reverse Shell löst eine External Remote Access-Erkennung aus und die Exfiltration von Daten vom Exchange-Server über diesen Kanal löst einen Smash & Grab-Alarm aus. Jegliche Anzeichen für eine interne Erkundung oder eine seitliche Bewegung vom Exchange-Server aus sollten sorgfältig überprüft werden, da diese Alarme darauf hindeuten, dass der Angreifer tiefer in das Netzwerk eindringt.
Vectra Kunden mit Recall oder Stream sollten Verbindungen zu und von ihrem Exchange-Server überprüfen. In Fällen, in denen die Sensoren von Vectra Einblick in den Out-to-In-Verkehr zu ihren Exchange-Servern haben, sollten die Teams nach Verbindungsversuchen von einer der folgenden IPs suchen: 165.232.154.116, 157.230.221.198 und 161.35.45.41. Verwenden Sie die folgenden Abfragen, um potenziell betroffene Hosts zu finden.
{
"query": {
"bool":{
"sollte": [
{
"match_phrase": {
"id.orig_h": "165.232.154.116"
}
},
{
"match_phrase": {
"id.orig_h": "157.230.221.198"
}
},
{
"match_phrase": {
"id.orig_h": "161.35.45.41"
}
}
],
"Mindestanzahl der Übereinstimmungen": 1
}
}
}
Wie immer empfiehlt Vectra , dass Kunden ihre Exchange-Server so bald wie möglich mit den verfügbaren Patches von Microsoft aktualisieren oder den externen Zugriff auf diese Exchange-Server einschränken, bis ein Patch eingespielt werden kann.
Wenn Sie mehr darüber erfahren möchten, wie Vectra Ihnen helfen kann, wenn Sie glauben, dass Sie von der Sicherheitsverletzung betroffen sind, vereinbaren Sie einen Termin für eine Demo, um zu sehen, wie Vectra Angriffe wie diese in Ihrem Unternehmen erkennen und stoppen kann, oder kontaktieren Sie uns.