Auf dem Exchange-Server eines Kunden haben wir mehrere ungewöhnliche Aktivitäten festgestellt. Dort wurden schädliche Downloads beobachtet und Endpoint Protection Warnungen von „Symantec Network Protection“ ausgelöst. Auch Veränderungen am System, wie die Installation von schädlicher Software mit dem Pfad „C:\setup.exe“ waren ein Resultat unserer Analyse. Doch wie ist es zu diesem Vorfall gekommen? Heute möchten wir davon berichten:
Angreifer erlangt Zugriff auf sensible Informationen
Verschiedene Informationen über den Kunden und über die Konfiguration des Servers wurden als temporäre Dateien abgelegt. Der Angreifer hatte zuvor Zugriff auf die IP-Konfiguration des Exchange-Servers, den Inhalt von lsass.exe (Zugangsdaten wie Passwörter, Zugriffstoken und Benutzer), die Liste der lokalen Gruppen, Mitglieder und Zugriffsrechte von Gruppen wie der Administratoren-Gruppe, Systeminformationen über den Exchange-Server und den Domaincontroller erlangt.
Unsere Analyse der Server-Festplatte nach möglichen Einfallstoren ergab, dass der Angreifer verschiedene temporäre Dateien im Pfad „C:\Windows\TEMP\“ angelegt und verändert hatte, um Schadcode auszuführen und Informationen abzuspeichern. Die Logs zeigten, dass der Angreifer sich mindestens die oben genannten Informationen über den Kunden in die temporären Dateien abgespeichert hatte.
ASPX-Dateien als Einfallstor
Weiterhin fanden unsere Security Analysten ASPX-Dateien im Verzeichnis „G:/inetpub/wwwroot/aspnet_client“ des Exchange-Servers vor. ASPX-Dateien können als Einfallstor für Angreifer dienen, wenn sie nicht ordnungsgemäß geschützt sind. Denn durch eine Schwachstelle in einer ASPX-Datei können Angreifer Schadcode einschleusen oder sensible Daten stehlen. Befindet sich die Schwachstelle der ASPX-Datei auf einem Exchange-Server, erlangen Cyberkriminelle so möglicherweise Zugriff auf E-Mails oder andere vertrauliche Informationen.
Die ASPX-Dateien auf dem Server enthalten den Exploit CVE-2021-31207.B, der eine Schwachstelle in der Microsoft Windows PowerShell-Engine ausnutzt und einem Angreifer die Remotecodeausführung auf einem verwundbaren System ermöglicht. Microsoft hat diese Schwachstelle im Mai 2021 als kritisch eingestuft und eine Warnung veröffentlicht. Durch die ausgenutzte Schwachstelle konnte der Angreifer seit August 2021 Zugriff auf das Kunden-System erlangen und schädliche Aktionen ausführen.
Unsere Handlungsempfehlungen
Wir empfehlen Ihnen, Ihre Exchange-Server sowie alle temporären Dateien zu überprüfen, um festzustellen, ob ähnliche ASPX-Dateien bei Ihnen vorhanden sind. Darüber hinaus sollten Sie sicherstellen, dass alle Sicherheitsvorkehrungen in Bezug auf Passwörter, Zugriffsrechte und Berechtigungen auf Ihren Systemen korrekt sind. Folgende Maßnahmen unterstützen Sie ebenfalls bei dem Schutz vor schädlichen Dateien:
- Verwenden Sie eine aktuelle Version des .NET Frameworks und halten Sie es auf dem neuesten Stand, um sicherzustellen, dass alle verfügbaren Sicherheitsupdates installiert sind.
- Vermeiden Sie unsichere Kodierungstechniken wie das Konkatenieren von Benutzereingaben in SQL-Abfragen oder das direkte Ausführen von Benutzereingaben als PowerShell-Befehle.
- Validieren Sie alle Benutzereingaben und stellen Sie sicher, dass nur erwartete Eingaben akzeptiert werden.
- Aktivieren Sie die ASP.NET-Request-Validation, um Angriffe auf Cross-Site Scripting (XSS) und andere Code-Injection-Angriffe zu verhindern.
- Schränken Sie die Berechtigungen von IIS- und ASP.NET-Benutzern auf das Mindestmaß ein, das für die ordnungsgemäße Funktion erforderlich ist.
- Verwenden Sie Antivirensoftware und andere Sicherheitsmaßnahmen, um potenzielle Bedrohungen zu erkennen und zu blockieren.
- Überwachen Sie regelmäßig die Ereignisprotokolle, um Angriffe auf ASPX-Dateien zu erkennen und darauf zu reagieren.
Wenn Sie Fragen zu ähnlichen Incidents haben oder Unterstützung benötigen, wenden Sie sich bitte an uns. Wir stehen Ihnen gerne zur Verfügung, um Ihnen bei der Analyse und Beseitigung von Sicherheitsproblemen zu helfen.