Certified Security Operations Center GmbH

16. November 2021

Hackergruppe Hafnium auf dem Vormarsch

Hackergruppe Hafnium auf dem Vormarsch

Kürzlich haben wir bei einem unserer Kunden einen neuartigen Angriff von der aus China operierenden Hackergruppe Hafnium detektiertdie kritische Schwachstellen in bereits gepatchten Exchange-Servern ausnutzt. In diesem Artikel gehen wir näher auf diesen Vorfall, ein und erklären, warum erhöhte Vorsicht bei der Nutzung von Exchange-Servern geboten ist.

BSI-Lagebericht

Der beschriebene Angriff ist vermutlich auf die Ausnutzung der Schwachstelle CVE-2021-26858 zurückzuführen. Auch im aktualisierten  BSI-Lagebericht wird diese Art von Angriff aufgegriffen. Bereits im März 2021  wurde auf 98 % aller geprüften Systeme eine gravierende Schwachstelle in Microsoft-Exchange Produkten festgestellt. Aufgrund der hohen Verbreitung angreifbarer Server und der leichten Ausnutzbarkeit mittels Exploit-Kits wurde die Lage als extrem kritisch eingestuft.

Unsere Analyse

Unsere tiefgreifende Analyse sämtlicher ausgelösten CSOC-Regeln und der Syslog-Daten hat im beschriebenen Fall gezeigt, dass sich ein Angreifer über den Web-Service des Microsoft Exchange-Servers unerlaubten Zugriff zum Host verschafft und den Exchange-Server durch verschiedene Ausführungen von Code erfolgreich angegriffen bzw. kompromittiert hatte. Der Angreifer verschaffte sich möglicherweise durch Modifizierung der Firewalls einen Remote-Desktop Zugang. Die ausgenutzten Schwachstellen ermöglichten die beliebige Ausführung von Skripten unter dem Benutzer „NT-AUTORITÄT\\SYSTEM“. Dieser Benutzer besitzt die höchste Berechtigungsstufe unter Microsoft Windows. Dadurch ist eine systemweite Kompromittierung möglich. Da sich der Angreifer möglicherweise einen Account in der lokalen Gruppe verschafft hatte, konnte dieser damit vermehrte Rechte erlangen. Durch einen Dump hatte der Angreifer möglicherweise Zugang zu Passwörtern wie z. B. Administrationspasswörtern. Zuletzt wurde ein Exchange Skript verwendet, um alle Kontakte aus dem Exchange-Server auszulesen. Ab hier wurde der Server frühzeitig vom Netzwerk getrennt, sodass eine Ausbreitung im Kundennetzwerk verhindert werden konnte.

Unsere Handlungsempfehlungen:

-Die IT-Infrastruktur sollte aktiv gemonitort werden, da gepatchte Systeme dennoch weitere bisher unentdeckte Schwachstellen aufweisen können.

-Nutzen Sie die von Microsoft bereitgestellten zusätzlichen Updates für ältere Versionsstände.

-Nutzen Sie die von Microsoft bereitgestellten Skripte zur Mitigation und Prüfung auf evtl. bereits erfolgte Kompromittierungen.

Im Falle einer Kompromittierung:

-Wir empfehlen den Exchange-Server vom Netzwerk zu trennen und neu zu installieren.

-Es sollte ein vollständiger Virenschutz-Scan durchgeführt werden.

-Es sollten alle Passwörter erneuert werden, mindestens die der Administratoren, da die Angreifer bei dieser Angriffsart einen Speicherauszug des LSASS-Prozesses anfertigen.

error: