ProxyLogon

Keine Software ist fehlerfrei und Exchange ist sicher keine einfache oder kleine Software. Schon in der Vergangenheit gab es immer mal wieder kleine Lücken, die Exchange entweder gestört oder blockiert haben. Allerdings war das Jahr 2021 bislang wohl besonders desaströs, da eine besondere Funktionsweise des Exchange Frontend Servers bei der Authentifizierung geschlampt hat und über den Weg gleich mehrere verschiedene Angriffe möglich waren.

Achtung: Wenn ihr Server nicht gepatched ist, dann ist ein Angriff nicht nur wahrscheinlich sondern vermutlich schon erfolgt.

Einfallstor und Updates

Seit Exchange 2007 gibt es die CAS-Rolle, die Client-Zugriffe authentifiziert und dann ihrerseits als "Exchange System" sich die Daten vom Mailbox Service holt. Mit neueren Exchange Versionen wurde das Konzept noch etwas verändert, dass die Rollen nun den Namen "Frontend" bekommen hat, die nach erfolgter Authentifizierung die Anfragen per HTTPS an den zuständigen Backend-Service weiter reicht. Die eigentliche "Arbeit" macht also die Backend-Rolle während die Frontend-Rolle die Authentifizierung und das Routing zum passenden Backend übernimmt. Wenn hier bei der Frontend-Rolle eine Lücke bei der Authentifizierung oder Zuordnung der Sessions besteht, dann kann ein Angreifer z.B. andere Postfächer lesen oder den Exchange Server zum Ausführen von beliebigen Dateien missbrauchen.

Die erste dieser "Lücken" wurde wohl Ende 2020 von Hackern entdeckt (Hafnium Exploit) und gezielt gegen "interessante" Firmen eingesetzt. Über diese Lücke konnte ein Angreifer beliebigen Code auf dem Exchange Server als "Local System" starten. Das blieb aber nicht unentdeckt und Microsoft hat im März/April das erste Update für sehr viele Exchange Versionen veröffentlicht. Parallel hat Herr Orange Tsai von DEVCORE ebenfalls Lücken im gleichen Bereich gefunden und an Microsoft gemeldet.

Das Update war aber noch nicht fehlerfrei und so konnte ein abgewandelter Angriff erfolgen. Microsoft darauf durch ein Security Updates im Mai 2021 (Pwn2Own 2021) reagiert. Aber auch dieses Update hat noch nicht alle Lücken geschlossen, so dass Microsoft am Patchday Jul 2021 noch mal Updates für Exchange veröffentlicht hat.

Auf der Sicherheitskonferenz "DEVCON2021" hat Orange Tsai dann in einem Vortrag über das Thema referiert:

Hinweis:
Alle dort demonstrierten Angriffe wurden vorab Microsoft gemeldet und durch Microsoft schon am Patchday Jul 2021 korrigiert.

Wenn Sie noch nicht die letzten Updates vom Patchday Jul 2021 installiert haben, dann sind sie angreifbar, zumindest wenn ihr Exchange Server aus dem Internet per HTTPS erreichbar ist und keine Web Application Firewall genau diese Angriffe unterbindet.

Meistens haben aber die Firmen mit einer Web Application Firewall auch die Policy, dass Security Updates schnell installiert werden. Gefährdet sind eher die kleineren Firmen, bei denen Administratoren oder Dienstleister vom Hersteller bereitgestellte Updates nicht zeitnah installieren. Vielleicht wäre hier der Betrieb als Managed Service, z.B. in der Cloud, besser.

Ist ihr Server dabei?

Die Version ihres Exchange Servers kann anonym aus dem Internet direkt überprüft werden. Siehe auch Exchange Build Nummer ermitteln. das hat das CERT-BUND (https://www.cert-bund.de/) einmal für Domänen gemacht und per Twitter veröffentlicht:


Twitter-Meldung: https://twitter.com/certbund/status/1424468051811045382
Landkarte https://twitter.com/certbund/status/1424468051811045382/photo/1

Auch die "Shodan"-Datenbank kann als Abonnement genutzt werden, um Statistiken zu erhalten. Deutschland ist auf dem zweiten Platz hinter den USA. Sie sollten alle Exchange Server prüfen. Es kann ja eine Niederlassung in einem anderen Land sein, deren Exchange Server wider Erwarten erreichbar ist:


https://twitter.com/jk0pr/status/1424683472006918145
Quelle: Bild: https://twitter.com/jk0pr/status/1424683472006918145/photo/1

Die Updates wurden von Microsoft schon vor mehrere Wochen bereitgestellt. Wenn Sie diese bisher nicht installiert haben, dann sollten Sie dies schleunigst nachholen oder temporär die Erreichbarkeit ihres Exchange Servers einschränken. Denken sie aber daran, dass sich der Angreifer schon in ihrem Netzwerk befinden kann, weil er z.B. Zugangsdaten eines normalen Anwenders für VPN oder Terminaldienste hat und sich so mehr Berechtigungen beschaffen kann. Daher gibt es nur eine richtige Lösung:

1. Exchange Version regelmäßig prüfen
2. auf Updates kontrollieren
3. zeitnah installieren

Die Versionsnummer von Exchange können Sie über mehrere Wege ermitteln. Seit dem Juli 2021 Update geht dies sogar offizielle und anonym per HTTP.

Erst an zweiter Stelle kommen dann erweiterte Funktionen wie Log-Monitoring, Virenscanner etc. die den Schaden war reduzieren oder erfassbar machen können aber nicht gegen veränderte Angriffe wirken, die noch nicht erkannt werden.

Der Vortrag

Mit den Vorträgen und Informationen gelingt es auch weniger versierten Hackern anhand der Updates die "korrigierten Stellen" zu analysieren und die Angriffe auszuführen. Oder Sie kaufen einfach die Werkzeuge im Darknet.

DEF CON 29 - Orange Tsai - ProxyLogon Just Tip of the Iceberg, New Attack Surface on Exchange Server
https://www.youtube.com/watch?v=5mqid-7zp8k
Kompletter Vortrag

ProxyShell - A New Attack Surface on Microsoft Exchange Server!
https://www.youtube.com/watch?v=FC6iHw258RI
Auszug aus dem Vortrag mit dem Beispiel zur Nutzung der Exchange PowerShell als Zugriff

ProxyOracle - A New Attack Surface on Microsoft Exchange Server!
https://www.youtube.com/watch?v=VuJvmJZxogc
Auszug aus dem Vortrag mit dem Beispiel zur Ermittlung des Klartext-Kennworts

ProxyLogon! The latest Pre-Auth RCE on Microsoft Exchange Server!
https://www.youtube.com/watch?v=SvjGMo9aMwE
Zeigt den Angriff mit einer Remote Shell - Ist nicht im DEVCON Vortrag selbst zu sehen.

Orange Tsai hat auf einem Slide schön aufgelistet, welche Lücke er wann gemeldet und wann Microsoft das Updates bereit gestellt hat.


Quelle: 06:31 DEF CON 29 - Orange Tsai - ProxyLogon Just Tip of the Iceberg, New Attack Surface on Exchange Server, https://www.youtube.com/watch?v=5mqid-7zp8k

Das waren aber nicht alle Bugs, denn auch andere Researcher haben


Quelle: 6:24  DEF CON 29 - Orange Tsai - ProxyLogon Just Tip of the Iceberg, New Attack Surface on Exchange Server, https://www.youtube.com/watch?v=5mqid-7zp8k

Ich kann mir gut vorstellen, dass die erkannten Lücken wirklich nur ein Anfang sind und Microsoft sich den Code genauer anschaut und vielleicht sogar grundlegend ändert. Auf der anderen Seite war Exchange Online angeblich nie davon betroffen. Vielleicht, weil Exchange Online nur OAUTH-Token prüfen muss und sich nicht mehr um NTLM oder Kerberos-Tickets kümmert. Verlassen würde ich mich darauf aber nicht.

Weitere Links