Informieren Sie sich über Exchange-Server, die von Hafnium Zero-Days angegriffen werden
Zusammenfassung: Gehören Sie zu den Benutzern, die von Hafnium-Zero-Day-Angriffen auf Exchange Server erfahren möchten? Wenn ja, dann sind Sie beim richtigen Artikel gelandet. Hier informieren wir über den Hafnium-Angriff.
In letzter Zeit haben viele Exchange-Administratoren, Benutzer, IT-Unternehmen und andere Branchen eine Zunahme von Angriffen auf lokale Exchange-Server festgestellt. Dieses Angriffsziel ist der E-Mail-Server, der am häufigsten von kleinen & Mittelständische Unternehmen sowie große Organisationen mit einem lokalen Exchange-Server sind ebenfalls von diesem Angriff betroffen, aber Exchange Online ist für diese Art von Angriff nicht anfällig.
Der Hafnium-Angriff auf Exchange Server wird von der chinesischen staatlich geförderten Bedrohungsgruppe Hafnium durchgeführt und es ist davon auszugehen, dass mehr als 21.000 Organisationen davon betroffen sind. Die wichtigsten Ziele sind in den Vereinigten Staaten in verschiedenen Branchen wie Anwaltskanzleien, Universitäten, IT-Unternehmen, Verteidigung, NGOs, politische Denkfabriken usw.
Dies ist ein landesweiter Angriff und viele andere kriminelle Organisationen werden die Schwachstellen ausgenutzt. Einschließlich der neuen Ransomware-Angriffe, die das Potenzial anderer bösartiger Aktivitäten haben. Der Hafnium-Angriff gilt als der breite Angriff und die Schwere dieser Exploits bedeutet, die kritischen Systeme zu schützen.
Wie funktioniert der Hafnium-Angriff auf Exchange Server?
Bei diesem Angriff handelt es sich im Wesentlichen um einen automatisierten Angriff, der einen ungepatchten Exchange-Server sucht, den ich aufgrund aktueller Informationen im Moment habe. Angreifer nutzen die vier Zero-Day-Schwachstellen aus und führen die Remote-Suchen nach dem Exchange-Server durch, die dem Internet ausgesetzt sind, um über OWA Zugriff auf einen beliebigen Server zu erhalten.
Danach können sie eine Web-Shell erstellen, um den kompromittierten Exchange-Server aus der Ferne zu steuern, um unbefugten Zugriff auf die kritischen Systeme wie Active Directory zu erhalten, und sie stehlen auch die Firmen- oder Organisationsinformationen.
Von Hafnium Zero-Days angegriffene Exchange-Server | Technische Details
Microsoft stellt seinen Kunden vollständige Informationen von ihrer Seite zur Verfügung, um die Techniken zu verstehen, die von Hafnium verwendet werden, um diese Schwachstellen auszunutzen & ermöglichen eine effektivere Abwehr zukünftiger Angriffe gegen ungepatchte Systeme
1. CVE-2021-26855 Es handelt sich um eine SSRF-Schwachstelle (Server-Side Request Forgery) in Exchange, die es dem Angreifer ermöglicht, beliebige HTTP-Anforderungen (HyperText Transfer Protocol) & es ist als Exchange Server authentifiziert.
2.CVE-2021-26857: Im UMS (Unified Messaging Services) handelt es sich um eine unsichere Deserialisierungs-Schwachstelle. Es wird dort präsentiert, wo die nicht vertrauenswürdigen benutzersteuerbaren Daten von einem Programm deserialisiert werden. Diese Sicherheitsanfälligkeit bietet Hafnium die Möglichkeit, den Code als SYSTEM auf dem Microsoft Exchange Server auszuführen. Dazu ist die Administratorberechtigung oder eine andere Schwachstelle erforderlich, die ausgenutzt werden kann.
3.CVE-2021-26858 In Exchange handelt es sich um die Sicherheitsanfälligkeit für das Schreiben beliebiger Dateien nach der Authentifizierung. Wenn sich Hufnium beim MS Exchange Server authentifizieren kann, können sie diese Schwachstelle nutzen, um eine Datei in einen beliebigen Pfad oder Speicherort auf dem Server zu schreiben. Außerdem enthalten sie legitime Administratoranmeldeinformationen oder könnten sich authentifizieren, indem sie die SSRF-Schwachstelle CVE-2021-26855 ausnutzen.
4.CVE-2021-27065: In Exchange handelt es sich um die Sicherheitsanfälligkeit für das Schreiben beliebiger Dateien nach der Authentifizierung. Wenn sich Hufnium beim MS Exchange Server authentifizieren kann, können sie diese Schwachstelle nutzen, um eine Datei in einen beliebigen Pfad oder Speicherort auf dem Server zu schreiben. Außerdem enthalten sie legitime Administratoranmeldeinformationen oder könnten sich authentifizieren, indem sie die SSRF-Schwachstelle CVE-2021-26855 ausnutzen.
Hinweis: Wenn Ihre Exchange Server-Datenbankdatei beschädigt wird und in den Offline-/Ausgehängten Zustand wechselt. Es ist sehr notwendig, die .edb-Datei vor Beschädigungen zu reparieren, aber die manuelle Lösung erfordert fundierte Kenntnisse, technische Fähigkeiten, & praktische Erfahrung, um die beschädigte Exchange-Datenbankdatei zu reparieren.
Profi-Tipp: Wenn Benutzer in einem solchen Fall die Technizität und Komplexität der manuellen Methode vermeiden möchten, können Benutzer das SysTools Exchange-Wiederherstellungstool verwenden, das getrennte oder offline .edb-Dateien (öffentlich und privat) unterstützt und die EDB-Datei vor Beschädigung repariert auf vereinfachte Weise über die Option für den schnellen oder erweiterten Scanmodus ohne Verwendung eines Befehls. Nach der Wiederherstellung können Benutzer dieses erweiterte Dienstprogramm problemlos verwenden, um wiederhergestellte EDB-Postfächer in Live Exchange Server Office 365 und mehrere Dateiformate zu exportieren.
100% Sichern Vollversion kaufen
100% Sichern
Wie schützt man MS Exchange Server vor aktuellen Angriffen?
Nun, Microsoft bietet eine regelmäßige Methode für Tools zum Aktualisieren der Software und diese außergewöhnliche Situation erfordert einen fortschrittlichen Ansatz. Außerdem bietet es mit den regelmäßigen Software-Updates sowohl die ältere als auch die nicht unterstützte Software. Dahinter steht die Absicht, das Anwendergeschäft schnell abzusichern.
Der erste Schritt besteht darin, sicherzustellen, dass alle relevanten Sicherheitsupdates auf jedes einzelne System angewendet werden. Dazu müssen Benutzer die Exchange Server-Version finden, die sie ausführen & die Aktualisierungen anwenden. Es bietet Schutz vor unbekannten Angriffen & Geben Sie dem Unternehmen oder der Organisation des Benutzers Zeit, ihre Server auf eine bestimmte Version mit vollständigem Sicherheitsupdate zu aktualisieren.
Im nächsten Schritt müssen Benutzer feststellen, ob ein System kompromittiert wurde, und es in diesem Fall sofort aus dem Netzwerk entfernen. Microsoft hat die Reihe von Schritten & Tools, die helfen, darunter – Skript, das es Benutzern ermöglicht, nach Anzeichen von Kompromittierung zu suchen, Microsoft Safety-Scanner einer neuen Version, um die verdächtige Malware zu identifizieren, usw. Alle diese Tools sind jetzt verfügbar und Microsoft ermutigt seine Benutzer, sie bereitzustellen.
Alles zusammenbringen
Jetzt wissen Benutzer über Exchange Server, die von Hafnium Zero-Days angegriffen wurden, wie es funktioniert, über technische Details und wie man den lokalen Exchange Server vor den jüngsten Angriffen schützt. Darüber hinaus haben wir für den Fall, dass die Exchange-Datenbankdatei des Benutzers stark beschädigt ist, eine fortschrittliche Lösung bereitgestellt, mit der Benutzer die .edb-Datei auf einfache Weise und problemlos wiederherstellen und reparieren können.