Website-Icon Frankys Web

HAFNIUM: Kleines Update zum öffentlichen Exploit

Mittlerweile ist der Exploit für die Exchange Schwachstellen öffentlich verfügbar und zieht, wie zu erwarten war, noch weitere Kreise. Zunächst wurde der Exploit auf GitHub gesperrt, was selbstverständlich zur Folge hatte, dass nun erst Recht der Exploit auf verschiedensten Seiten veröffentlicht wurde. Mittlerweile ist der Exploit auch wieder auf GitHub verfügbar, nur halt bei anderen Accounts (oder auch via Tor-Link).

Falls es sich jemand mal anschauen möchte, hier findet sich der Exploit:

Der Windows Defender erkennt mit den aktuellen Signaturen übrigens den Exploit Code, was natürlich nicht viel hilft, denn der Exploit wird ja remote ausgeführt:

Ich hab mit den Exploit mal angeschaut, es sind ja bloß 169 Zeilen Python Code. Dabei ist mir direkt eine kleine aber feine Schwachstelle aufgefallen:

Wer seinen Exchange Server also nicht unter dem Standardpfad “C:\Program Files\Microsoft\Exchange Server” installiert hat, sondern beispielsweise auf einem anderen Laufwerk, der kann sich mal zurücklehnen und sich auf die Schulter klopfen: Gut gemacht!

Zumindest dieser Exploit, würde versuchen die Webshell in einem Verzeichnis anzulegen, welches nicht existiert, wenn Exchange auf einem anderen Laufwerk oder Pfad installiert wurde. Dies gilt allerdings nur für diesen PoC Exploit Code und hält maximal jemanden auf, der versucht dieses Beispiel direkt zu übernehmen.

Dieser Exploit ist auch ohne weitere Anpassung nicht direkt lauffähig. Ich habe den Exploit mit Exchange 2019 getestet und es hakt gleich an mehreren Stellen. Bis zu einer gewissen Stelle ist dies noch alles recht einfach anpassbar, aber zumindest in meiner Exchange 2019 Testumgebung wird das “msExchCanary” nicht nach dem ProxyLogon zurück geliefert:

Dies könnte übrigens eine Erklärung für die vielen erfolgten ProxyLogons in den IIS Logs sein, wo sich allerdings keine Webshell oder ähnliches feststellen lässt. Andere Exchange Versionen konnte ich bisher nicht testen. Scheinbar haben aber zumindest noch nicht alle Angreifer den Exploit gut genug angepasst. Dies soll aber nicht heißen, dass es nicht gelingt, denn aktuell wird über die bekannten Schwachstellen auch Ransomware installiert, welche Daten im Netzwerk verschlüsselt. Neben einer Webshell ist dies also der zweite SuperGAU für Unternehmen.

Ich empfehle daher dringend ungepatchte Exchange Server direkt vom Internet zu trennen (Port 443 an der Firewall sperren) und die Server schnellstmöglich zu aktualisieren. Der Mailempfang wird dadurch nicht gestört, nur Benutzer welche ActiveSync, OWA und/oder OutlookAnywhere (RPCoverHTTPs, MAPIoverHTTPs) verwenden,können nicht mehr auf Exchange zugreifen. Hier könnte aber der Zugriff via VPN erfolgen, wenn dies unbedingt erforderlich ist. Ich kann mir gut vorstellen, dass gerade kleinere Systemhäuser vor einer riesigen Aufgabe stehen, so schnell wie möglich die Systeme der Kunden zu aktualisieren, dies aber aufgrund der Ressourcen und Aufwände einfach nicht so schnell schaffen wie es nötig wäre. Daher meine Empfehlung: Erst mal alle vom Netz trennen, dann aktualisieren, dann untersuchen und ggf. neu installieren und erst dann wieder den Zugriff via Port 443 freigeben.

Gestern waren laut BSI noch ca. 25.000 Exchange Server in Deutschland verwundbar:

Bevor hier also die nächste Ransomware Plage oder vertrauliche Daten öffentlich werden, sollten diese Systeme schnellstmöglich vom Netz genommen werden und aktualisiert werden. Auch muss geprüft werden, ob eine Meldepflicht im Sinne der DSGVO erfolgen muss, dazu finden sich hier weitere Informationen:

https://www.heise.de/news/Exchange-Hack-Uneinheitliche-Position-der-Datenschutzbehoerden-zur-Meldepflicht-5078453.html

Meine Empfehlung, wenn Anzeichen mit den verfügbaren Testscripts auftauchen und die Updates zu dem Zeitpunkt noch nicht installiert waren, dann lieber neu installieren:

https://www.frankysweb.de/exchange-server-neuinstallation-ohne-datenverlust-beispielsweise-nach-angriff/

Die mobile Version verlassen