Meldung

SSRF-Angriffe auf Exchange-Server

Bitdefender warnt vor einer Serie von ProxyNotShell/OWASSRF-Attacken, die sich gegen On-Premises-Exchange-Installationen richten. Die seit Ende November 2022 vor allem in den USA beobachteten Angriffe dienten unterschiedlichen Zwecken. Server-Side Request-Forgery-(SSRF)-Attacken ermöglichen opportunistische Attacken über einen verwundbaren Server auf einen anderen Server und können zum Beispiel zur Übernahme eines Exchange-Servers führen.
Bitdefender warnt vor ProxyNotShell/OWASSRF-Attacken, denn Schwachstellen über ein Fronted-Proxy lassen sich nur schwer schließen.
SSRF-Attacken sind laut Bitdefender [1] eine weit verbreitete Möglichkeit, mit Server Orientated Architecture (SOA) programmierte Backend-Dienste zu attackieren, die über keine hart codierte Sicherheit verfügen. Für ihren Schutz sind die Frontend Proxies zuständig. In einer der Attacken greifen die Cyberkriminellen bei einem Microsoft Exchange 2019 Mailbox-Server die Client Access Services (CAS) als Proxy-Schutz an. Die Hacker senden eine Anfrage über ein verwundbares System, der CAS-Proxy authentifiziert die Anfrage der Angreifer und gewährt den Angreifern einen SYSTEM-Zugriff auf Backend-Dienste.

Microsoft Exchange ist ein ideales Ziel für solche Angriffe, weil es auf einer Menge von Frontend- und Backend-Diensten beruht, deren Änderung durch die geschuldete Rückwärtskompatibilität schwer möglich ist. Die Backend-Dienste vertrauen einer Anfrage des Front End CAS Layers. Über den SYSTEM-Account laufen verschiedene Backend-Ziele. Die Remote PowerShell (RPS) bietet eine Menge von Power Shell-Befehlen.

Ein solches lohnendes Ziel attackieren Hacker für verschiedene Zwecke: So wollten sie Tools für den Remote-Zugang installieren. Eine persistente Präsenz auf dem kompromittierten System über Web-Shell-Programme sollte verschiedene Aktionen ermöglichen. Hacker nutzen die ProxyNotShell genannte Attacke um PowerShell-Kommandos durchzuführen – vermutliche Absicht die Installation von Ransomware. Auch das Erbeuten von Zugangsdaten in einer anderen Variante dient dazu, Ransomware-Attacken zu starten.

Schwachstellen in solchen High-Level-Architekturen sind selten zu finden. Wenn vorhanden, lassen sie sich in produktiven Systemen nur schwer schließen. Dies gilt vor allem für weitverbreitete Software, für die eine Rückwärts-Kompatibilität eine wichtige Rolle spielt – so bei Microsoft Exchange. Um solche Angriffe abzuwehren, bedarf es einer gestaffelten Cyberabwehr mit Funktionen zu Prävention, Erkennung und Abwehr. Dazu gehört auch ein Patch Management, das sich nicht nur auf Windows beschränkt, sondern auf alle Applikationen und Dienste mit Internetzugang. Die Reputation von IP-Adressen und URLs zu überprüfen, ist ebenso wichtig. Abwehrlösungen müssen auch Fileless-Angriffe erkennen können.
25.01.2023/dr

Tipps & Tools

Im Test: senhasegura GO Endpoint Manager 3 [2.02.2023]

Der senhasegura GO Endpoint Manager kümmert sich um die Verwaltung und die zielgerichtete Verwendung administrativer Zugangsdaten und Berechtigungen. Das System führt Applikationen mit erhöhten Rechten aus, ohne dass Endanwender dazu dauerhaft privilegierte Rechte benötigen. Im Test zeigte sich, dass diese Rechtevergabe detailliert und flexibel hilft, die Sicherheit zu verbessern. [mehr]

Download der Woche: Alle meine Passworte [25.01.2023]

IT-Profis bewahren ihre Zugangsdaten meist in einem Passwortmanager auf. Ein solcher ist "Alle meine Passworte". Das Tool bringt neben seiner Kostenfreiheit als weitere Vorteile eine Exportfunktion sowie mehrere Verschlüsselungsarten mit. Ebenso möglich ist das automatische Einfügen der relevanten Daten in die entsprechenden Eingabefelder. [mehr]

Fachartikel

Sicherheit mit Penetrationstests erhöhen [1.02.2023]

Jedes Unternehmen kann zum Ziel eines Cyberangriffs werden. Externe Fachleute, sogenannte Ethical Hacker oder White Hats, führen deshalb Penetrationstests durch, um die Verwundbarkeit der IT einer Organisationen auf den Prüfstand zu stellen. Aber viele IT-Entscheider scheuen den Aufwand und die Kosten. Für eine solide Cyberresilienz ist Ethical Hacking aber unverzichtbar. Der Artikel liefert sechs Argumente, warum Pentesting sinnvoll ist. [mehr]

Anzeigen