WAF-Schutz der nächsten Generation für aktuelle Sicherheitslücken bei Microsoft Exchange

Schutz unserer Kunden

Unser Sicherheitsforschungsteam hat eine Regel zum Schutz von Fastlys Signal Sciences Next-Gen WAF Kunden vor den kürzlich bekannt gewordenen Microsoft Exchange Serverschwachstellen erstellt und implementiert.Die nutzerdefinierte Regel ist in der Konsole unter „Templated Rules“ verfügbar. 

New templated rule for Microsoft Exchange systems vulnerability

Wir empfehlen dringend, Ihrem Microsoft Exchange Server die Signal Sciences Next-Gen WAF vorzuschalten und diese Regel so bald wie möglich zu aktivieren und so zu konfigurieren, dass Anfragen blockiert werden, sobald das entsprechende Signal erkannt wird. Außerdem sollten Sie sämtliche Anweisungen von Microsoft befolgen, um betroffene Systeme zu patchen. Die betreffenden Schwachstellen werden weltweit aktiv ausgenutzt und haben schwerwiegende Auswirkungen. 

Patchen von Microsoft Exchange Systemen 

Wir beobachten einen starken Anstieg bei den Versuchen, diese Sicherheitslücke auszunutzen. Dabei handelt es sich um eine Entwicklung, die sich laufend verändert, und unsere Teams arbeiten kontinuierlich daran, die neuesten Angriffe durch Regeln abzufangen. Dies sollte aber nicht Ihre einzige Abwehrmaßnahme sein. Wir empfehlen Ihnen dringend, betroffene Systeme zu patchen, Notfallmaßnahmen zu ergreifen und die Empfehlungen von Microsoft zu befolgen. 

Exploit Chain

Bei den beobachteten Angriffen auf Microsoft Exchange Systeme werden mehrere CVEs (Common Vulnerabilities and Exposures [Häufige Schwachstellen und Anfälligkeiten]) aneinandergekettet, um den Angriff auszuführen. Die Auswirkungen dieser Angriffe reichen von der vollständigen Systemübernahme über Remote Code Execution (RCE) bis hin zur Exfiltration und Kompromittierung des E-Mail-Posteingangs. Die Exploit Chain läuft allgemein betrachtet wie folgt ab:

  1. Eine Server-Side Request Forgery (SSRF)-Schwachstelle in Microsoft Exchange Server, die als CVE-2021-26855 bezeichnet wurde, ermöglicht es Angreifern, HTTP-Anfragen an den exponierten Exchange Server zu senden und auf andere Endpoints als den Exchange Server selbst zuzugreifen. Dabei handelt es sich um einen nicht authentifizierten Schritt, wodurch die Schwachstelle besonders leicht ausgenutzt werden kann. 

  2. Eine unsichere Deserialisierungsschwachstelle, die als CVE-2021-26857 bezeichnet wurde, nutzt die Authentifizierung durch den oben genannten SSRF-Angriff auf SYSTEM-Ebene aus, um speziell gestaltete SOAP-Nutzdaten zu versenden, die vom Unified Messaging Service unsicher deserialisiert werden. Dies ermöglicht es dem Angreifer, Code als SYSTEM auf dem Exchange Server auszuführen. 

  3. Nachdem CVE-2021-26855 erfolgreich ausgenutzt wurde, können Angreifer dann CVE-2021-27065 und CVE-2021-26858 nutzen, um unter Verwendung eines beliebigen Pfads eigene Dateien auf dem Exchange Server selbst zu schreiben. Dieser vom Angreifer hochgeladene Code wird auf dem Server als SYSTEM ausgeführt.Über diese Schwachstellen kann es zu Seitwärtsbewegungen, dem Einschleusen von Malware, Datenverlust, Eskalation und vielem mehr kommen.

Durch die Aktivierung der Templated Rule der Signal Sciences Next-Gen WAF kann der erste Schritt in der Exploit Chain nicht ausgeführt werden. Wenn Sie sich eingehender mit den technischen Details dieser Angriffskette befassen möchten, lesen Sie diesen Beitrag von Praetorian. Zur Aktivierung der Templated Rule, lesen Sie bitte unsere Dokumentation, in der wir beschreiben, wie diese Aktivierung durchgeführt wird.

Fastly Security Research Team
Fastly Security Research Team
Xavier Stevens
Staff Security Researcher
Simran Khalsa
Staff Security Researcher
Veröffentlicht am

Lesedauer: 2 Min.

Sie möchten sich mit einem Experten austauschen?
Sprechen Sie mit einem Experten
Diesen Beitrag teilen
Fastly Security Research Team
Fastly Security Research Team

Der Schwerpunkt des Security Research Teams von Fastly liegt darauf, unseren Kunden die für die Sicherheit ihrer Systeme relevanten Tools und Daten zur Verfügung zu stellen. Das Team setzt sich aus einer Handvoll engagierter Sicherheitsexperten mit einem gemeinsamen Ziel zusammen: durch Analyse Angriffen vorzubeugen und letztlich die bestmögliche Security in einer sich ständig entwickelnden Weblandschaft bereitzustellen.

Xavier Stevens
Staff Security Researcher

Xavier Stevens ist Staff Security Researcher bei Fastly und beschäftigt sich mit Bedrohungsforschung, Erkennungstechnologie und Produktinnovation.

Simran Khalsa
Staff Security Researcher

Simran Khalsa ist Staff Security Researcher bei Fastly, wo er sich auf Bedrohungsanalysen, Schwachstellenforschung und Produktinnovation konzentriert. Er erforscht gerne neue Angriffstechniken und sucht nach Verbesserungsmöglichkeiten von Technologien, um Angriffe aus dem Internet zu verhindern. Simran Khalsa konnte im Laufe seiner Karriere bereits sowohl auf der offensiven als auch auf der defensiven Seite und im öffentlichen wie im privaten Sektor Erfahrungen sammeln, wobei sein Schwerpunkt auf der Entwicklung moderner Sicherheitslösungen lag.

Sie möchten loslegen?

Setzen Sie sich mit uns in Verbindung oder erstellen Sie einen Account.

Fastly kostenlos testenExperten kontaktieren
Fastly
© Fastly 2024