Zurück zum Blog

Folgen und abonnieren

WAF-Schutz der nächsten Generation für aktuelle Sicherheitslücken bei Microsoft Exchange

Fastly Security Research Team

Fastly Security Research Team, Fastly

Xavier Stevens

Staff Security Researcher, Fastly

Simran Khalsa

Staff Security Researcher

Schutz unserer Kunden

Unser Sicherheitsforschungsteam hat eine Regel zum Schutz von Fastlys Signal Sciences Next-Gen WAF Kunden vor den kürzlich bekannt gewordenen Microsoft Exchange Serverschwachstellen erstellt und implementiert.Die nutzerdefinierte Regel ist in der Konsole unter „Templated Rules“ verfügbar. 

Wir empfehlen dringend, Ihrem Microsoft Exchange Server die Signal Sciences Next-Gen WAF vorzuschalten und diese Regel so bald wie möglich zu aktivieren und so zu konfigurieren, dass Anfragen blockiert werden, sobald das entsprechende Signal erkannt wird. Außerdem sollten Sie sämtliche Anweisungen von Microsoft befolgen, um betroffene Systeme zu patchen. Die betreffenden Schwachstellen werden weltweit aktiv ausgenutzt und haben schwerwiegende Auswirkungen. 

Patchen von Microsoft Exchange Systemen 

Wir beobachten einen starken Anstieg bei den Versuchen, diese Sicherheitslücke auszunutzen. Dabei handelt es sich um eine Entwicklung, die sich laufend verändert, und unsere Teams arbeiten kontinuierlich daran, die neuesten Angriffe durch Regeln abzufangen. Dies sollte aber nicht Ihre einzige Abwehrmaßnahme sein. Wir empfehlen Ihnen dringend, betroffene Systeme zu patchen, Notfallmaßnahmen zu ergreifen und die Empfehlungen von Microsoft zu befolgen. 

Exploit Chain

Bei den beobachteten Angriffen auf Microsoft Exchange Systeme werden mehrere CVEs (Common Vulnerabilities and Exposures [Häufige Schwachstellen und Anfälligkeiten]) aneinandergekettet, um den Angriff auszuführen. Die Auswirkungen dieser Angriffe reichen von der vollständigen Systemübernahme über Remote Code Execution (RCE) bis hin zur Exfiltration und Kompromittierung des E-Mail-Posteingangs. Die Exploit Chain läuft allgemein betrachtet wie folgt ab:

  1. Eine Server-Side Request Forgery (SSRF)-Schwachstelle in Microsoft Exchange Server, die als CVE-2021-26855 bezeichnet wurde, ermöglicht es Angreifern, HTTP-Anfragen an den exponierten Exchange Server zu senden und auf andere Endpoints als den Exchange Server selbst zuzugreifen. Dabei handelt es sich um einen nicht authentifizierten Schritt, wodurch die Schwachstelle besonders leicht ausgenutzt werden kann. 

  2. Eine unsichere Deserialisierungsschwachstelle, die als CVE-2021-26857 bezeichnet wurde, nutzt die Authentifizierung durch den oben genannten SSRF-Angriff auf SYSTEM-Ebene aus, um speziell gestaltete SOAP-Nutzdaten zu versenden, die vom Unified Messaging Service unsicher deserialisiert werden. Dies ermöglicht es dem Angreifer, Code als SYSTEM auf dem Exchange Server auszuführen. 

  3. Nachdem CVE-2021-26855 erfolgreich ausgenutzt wurde, können Angreifer dann CVE-2021-27065 und CVE-2021-26858 nutzen, um unter Verwendung eines beliebigen Pfads eigene Dateien auf dem Exchange Server selbst zu schreiben. Dieser vom Angreifer hochgeladene Code wird auf dem Server als SYSTEM ausgeführt.Über diese Schwachstellen kann es zu Seitwärtsbewegungen, dem Einschleusen von Malware, Datenverlust, Eskalation und vielem mehr kommen.

Durch die Aktivierung der Templated Rule der Signal Sciences Next-Gen WAF kann der erste Schritt in der Exploit Chain nicht ausgeführt werden. Wenn Sie sich eingehender mit den technischen Details dieser Angriffskette befassen möchten, lesen Sie diesen Beitrag von Praetorian. Zur Aktivierung der Templated Rule, lesen Sie bitte unsere Dokumentation, in der wir beschreiben, wie diese Aktivierung durchgeführt wird.