WAF-Schutz der nächsten Generation für aktuelle Sicherheitslücken bei Microsoft Exchange

Schutz unserer Kunden

Unser Sicherheitsforschungsteam hat eine Regel zum Schutz von Fastlys Signal Sciences Next-Gen WAF Kunden vor den kürzlich bekannt gewordenen Microsoft Exchange Serverschwachstellen erstellt und implementiert.Die nutzerdefinierte Regel ist in der Konsole unter „Templated Rules“ verfügbar. 

New templated rule for Microsoft Exchange systems vulnerability

Wir empfehlen dringend, Ihrem Microsoft Exchange Server die Signal Sciences Next-Gen WAF vorzuschalten und diese Regel so bald wie möglich zu aktivieren und so zu konfigurieren, dass Anfragen blockiert werden, sobald das entsprechende Signal erkannt wird. Außerdem sollten Sie sämtliche Anweisungen von Microsoft befolgen, um betroffene Systeme zu patchen. Die betreffenden Schwachstellen werden weltweit aktiv ausgenutzt und haben schwerwiegende Auswirkungen. 

Patchen von Microsoft Exchange Systemen 

Wir beobachten einen starken Anstieg bei den Versuchen, diese Sicherheitslücke auszunutzen. Dabei handelt es sich um eine Entwicklung, die sich laufend verändert, und unsere Teams arbeiten kontinuierlich daran, die neuesten Angriffe durch Regeln abzufangen. Dies sollte aber nicht Ihre einzige Abwehrmaßnahme sein. Wir empfehlen Ihnen dringend, betroffene Systeme zu patchen, Notfallmaßnahmen zu ergreifen und die Empfehlungen von Microsoft zu befolgen. 

Exploit Chain

Bei den beobachteten Angriffen auf Microsoft Exchange Systeme werden mehrere CVEs (Common Vulnerabilities and Exposures [Häufige Schwachstellen und Anfälligkeiten]) aneinandergekettet, um den Angriff auszuführen. Die Auswirkungen dieser Angriffe reichen von der vollständigen Systemübernahme über Remote Code Execution (RCE) bis hin zur Exfiltration und Kompromittierung des E-Mail-Posteingangs. Die Exploit Chain läuft allgemein betrachtet wie folgt ab:

  1. Eine Server-Side Request Forgery (SSRF)-Schwachstelle in Microsoft Exchange Server, die als CVE-2021-26855 bezeichnet wurde, ermöglicht es Angreifern, HTTP-Anfragen an den exponierten Exchange Server zu senden und auf andere Endpoints als den Exchange Server selbst zuzugreifen. Dabei handelt es sich um einen nicht authentifizierten Schritt, wodurch die Schwachstelle besonders leicht ausgenutzt werden kann. 

  2. Eine unsichere Deserialisierungsschwachstelle, die als CVE-2021-26857 bezeichnet wurde, nutzt die Authentifizierung durch den oben genannten SSRF-Angriff auf SYSTEM-Ebene aus, um speziell gestaltete SOAP-Nutzdaten zu versenden, die vom Unified Messaging Service unsicher deserialisiert werden. Dies ermöglicht es dem Angreifer, Code als SYSTEM auf dem Exchange Server auszuführen. 

  3. Nachdem CVE-2021-26855 erfolgreich ausgenutzt wurde, können Angreifer dann CVE-2021-27065 und CVE-2021-26858 nutzen, um unter Verwendung eines beliebigen Pfads eigene Dateien auf dem Exchange Server selbst zu schreiben. Dieser vom Angreifer hochgeladene Code wird auf dem Server als SYSTEM ausgeführt.Über diese Schwachstellen kann es zu Seitwärtsbewegungen, dem Einschleusen von Malware, Datenverlust, Eskalation und vielem mehr kommen.

Durch die Aktivierung der Templated Rule der Signal Sciences Next-Gen WAF kann der erste Schritt in der Exploit Chain nicht ausgeführt werden. Wenn Sie sich eingehender mit den technischen Details dieser Angriffskette befassen möchten, lesen Sie diesen Beitrag von Praetorian. Zur Aktivierung der Templated Rule, lesen Sie bitte unsere Dokumentation, in der wir beschreiben, wie diese Aktivierung durchgeführt wird.

Fastly Security Research Team
Security Research Team von Fastly
Veröffentlicht am

Lesedauer: 2 Min.

Sie möchten sich mit einem Experten austauschen?
Sprechen Sie mit einem Experten
Diesen Beitrag teilen
Fastly Security Research Team
Security Research Team von Fastly

Der Schwerpunkt des Security Research Teams von Fastly liegt darauf, unseren Kunden die für die Sicherheit ihrer Systeme relevanten Tools und Daten zur Verfügung zu stellen und Angriffe auf die Fastly Infrastruktur zu analysieren und zu vermeiden. Das Team setzt sich aus einer Gruppe von im Hintergrund agierenden Sicherheitsexperten zusammen, die Ihnen helfen, auf dem neuesten Stand der sich ständig weiterentwickelnden Sicherheitslandschaft zu bleiben.


Mit im Team sind:



  • Simran Khalsa, Staff Security Researcher

  • Arun Kumar, Senior Security Researcher

  • Kelly Shortridge, Senior Principal, Product Technology

  • Xavier Stevens, Staff Security Researcher

  • Matthew Mathur, Senior Security Researcher

Sie möchten loslegen?

Setzen Sie sich mit uns in Verbindung oder erstellen Sie einen Account.

Fastly kostenlos testenExperten kontaktieren
Fastly
© Fastly 2024