Intrusions

Hierunter fallen alle Arten von "Einbrüchen", egal, ob sie physisch oder virtuell passieren.

• Compromised SSH
  
• Exchange Webshells (CVE-2021-26855)
  

Compromised SSH

Beschreibung

SSH ist ein Protokoll für die sichere Verbindung zu Servern. Es unterstützt die Autorisierung durch Public/Private Keys, die normalerweise in einer Datei ".ssh/authorized_keys" definiert sind. Kriminelle, die eine Maschine kompromittiert haben, fügen oft ihre eigenen Schlüssel hinzu, um einen dauerhaften Zugang zu erhalten. Das Protokoll erlaubt es, von außen (ohne physischen Zugriff auf die Maschine) zu überprüfen, ob ein bestimmter öffentlicher Schlüssel für einen bestimmten Benutzer konfiguriert wurde. Da einige Public Keys die von Angreifern verwendet werden, bekannt sind, ist es möglich diese gegen bekannte Benutzer abzugleichen. Ist das Ergebnis positiv, wurde das System bereits von Kriminellen kompromittiert.

Behebung

• Das System wurde bereits kompromittiert. Eine forensische Untersuchung wird dringend empfohlen. Das Entfernen des Keys reicht nicht aus.

[0] https://www.shadowserver.org/what-we-do/network-reporting/compromised-ssh-host-special/

[1] https://rushter.com/blog/public-ssh-keys/

Exchange Webshell (CVE-2021-26855)

Beschreibung

Am 2. März 2021 wurden Notfallpatches für Microsoft Exchange, Microsofts E-Mail-Server, veröffentlicht, die bereits aktiv ausgenutzt wurden.[0] AngreiferInnen gingen schnell dazu über, auf allen verwundbaren Installationen, die über das Internet erreichbar waren, Webshells zu installieren, um ihren Zugriff zu sichern und potentiell zu einem späteren Zeitpunkt wiederkommen zu können, um weitere Schritte zu setzen.

Risiken

• AngreiferInnen haben Zugriff auf Ihren Exchange Server und können darauf beliebige Programme ausführen, E-Mails lesen und das Betriebssystem verändern.
• Sofern Ihr internes Netzwerk oder Teile davon über den Exchange Server erreichbar sind, können AngreiferInnen über diesen in Ihr internes Netzwerk eindringen und dort beliebige weitere Schritte setzen, wie z.B. Ransomware installieren oder Daten stehlen.

Behebung

• Benutzen Sie das von Microsoft zur Verfügung gestellte Exchange On-premises Mitigation Tool (EOMT), das Ihren Server nicht nur gegen zukünfige Angriffe absichert, sondern auch alle Webshells, die Microsoft erkennt, entfernt.
• Microsoft kann natürlich nur Webshells erkennen und entfernen, die bekannt sind. Sollten Sie den Verdacht haben, dass bereits weitere Schritte gesetzt wurden, oder Kriminelle nach wie vor Zugriff auf Ihren Exchange Server haben, empfiehlt es sich, eine forensische Analyse Ihres Exchange Servers durchzuführen und Ihr Netzwerk auf verdächtige Aktivitäten zu monitoren.

[0]: https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/