17.08.2021 13:30
ProxyShell in Österreich
Microsoft Exchange kommt 2021 nicht zur Ruhe: Im März nutzten Kriminelle die unter der Bezeichnung ProxyLogon bekannt gewordenen Schwachstellen großflächig aus. Details dazu finden sich z.B. in unseren Beiträgen hier, hier und hier.
In seinem Talk auf der BlackHat US 2021 stellte Sicherheitsforscher Orange Tsai eine weitere Kombination von Lücken vor, die es AngreiferInnen ermöglicht, beliebige Befehle als NT Authority\System über das Netzwerk auszuführen, ohne sich authentifizieren zu müssen. Nach diesen "ProxyShell" genannten Schwachstellen wurde innerhalb kurzer Zeit Internet-weit gescannt und mittlerweile werden sie auch aktiv für Angriffe missbraucht.
Wir haben am 2021-08-10 mit Shodan nach verwundbaren Exchange Servern in Österreich gesucht und alle potentiell Betroffenen informiert. Insgesamt waren es 958 Treffer.
Am 2021-08-16 haben wir einen eigenen Scan entsprechend der Logik des nmap-Scripts von Kevin Beaumont durchgeführt, wobei wir auch versucht haben, die Exchange Version aus den Antworten zu parsen. Wir haben dazu die Funktion get_exchange_version aus dem GitHub Repository von CERT-LV benutzt, wobei wir die Regular Expression zu b'href="https://cert.at/owa/auth/(?P[14568][45]?\.[0-9\.]+)/themes/resources/favicon.ico"' erweitert und die Liste unter https://docs.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates als Referenz zur Zuordnung verwendet haben. Gescannt haben wir dabei jene 2467 IPv4 Adressen, die wir im Zuge von ProxyLogon als Exchange Server identifiziert haben. Das Ergebnis sieht wie folgt aus:
| Exchange Server 2013 | Exchange Server 2016 | Exchange Server 2019 | Keine Version | Total | |
| Vulnerable | 0 | 499 | 238 | 9 | 746 |
| Patched | 245 | 0 | 0 | 536 | 781 |
| Unknown | 33 | 576 | 249 | 82 | 940 |
| Total | 278 | 1075 | 487 | 627 | 2467 |
Die Versionsabfrage scheint bei Exchange 2016 und Exchange 2019 nicht richtig zu funktionieren, das werden wir korrigieren. Insgesamt scheint es derzeit jedenfall gleichviele verwundbare wie gepatchte Systeme zu geben. Die "unknown" Kategorie ergibt sich daraus, dass lt. dem verwendeten Script verwundbare Server mit HTTP Code 302 Found antworten, während gepatchte stattdessen 400 Bad Request zurückliefern. Alle anderen Antworten werden als "unknown" kategorisiert. Ein kurzer Blick auf die anderen Response Codes zeigt zahlreiche 401 Unauthorized Antworten. Hinweise wie diese zu interpretieren sind, nehmen wir gerne an.
Alle BetreiberInnen von Exchange Installation, die bei diesem Scan als "vulnerable" klassifiziert wurden, haben wir erneut kontaktiert.