Exchange Server 0-day exploits

Am 2. März hat Microsoft über mehrere 0-day exploits informiert, welche genutzt werden können um on-premise Exchange Server zu attackieren. Schon länger gab es in der „Cyber Security Community“ auf Twitter nicht mehr so eine Dringlichkeit Patches zu installieren.

Bis jetzt wurde nur berichtet, dass die HAFNIUM, eine chinesisch staatlich gesponserte „Hacker Gruppe“ diesen Angriff genutzt hat. Man kann aber davon ausgehen das andere Threat Actors sich diese Schwachstellen zu nutzen machen.

In diesem Blog Post findet ihr alle wichtigen Ressourcen und was zu tun ist.

Ressourcen

• Unter diesem Microsoft Blog Post ist ersichtlich wie der Angriff ausgeführt wird und wie man mehrere IOCs(indicators of compromise) überprüfen kann.
• Veloxity hat auch einen Blog Post veröffentlich wo die Exploits in einem Video vorgeführt werden.
• Mit diesem nmap Script kann man testen ob ein Server potentiell angreifbar ist.
• Ein allgemeiner Blog Post von Microsoft wie man Exchange Server schützt.

Was ist nun genau zu tun?

1. Updates gibt es nur für supportete CUs. Falls Ihr noch ein veraltetes CU habt könnt ihr euch hier über die Upgrade Paths für Exchange Server 2016 und 2019 informieren und die Upgrades installieren.
2. Patches Installieren. Dieser Blog Post vom Microsoft Exchange Server Team informiert über die Updates.
3. Anhand der IOCs herausfinden ob man schon attackiert wurde.
4. Checken ob WebShells mit „China Chopper“ installiert wurden. Unter diesem Reddit Comment von HuntressLabs findet ihr dazu mehr Infos. „China Chopper“ kann auch in web.config, owa/auth/errorFE.aspx & OutlookFE.aspx eingesetzt werden.
5. Falls ihr kompromittiert wurdet, unbedingt Experten dazu ziehen.