Advaced einmal bezahlt und gleich deinstalliert

Auf Microsoft Exchange-Servern, die nicht auf dem neuen Patch-Stand sind, besteht das Risiko, dass Angreifer die ProxyNotShell-Schwachstellen CVE-2022-41040 und CVE-2022-41082 als Eintrittsvektor für Microsoft Exchange Server missbrauchen. Vor Weihnachten hatte ich über einen vermuteten neuen Angriffsvektor berichtet, den die Play Ransomware-Gruppe für erfolgreiche Angriffe über die ProxyNotShell-Schwachstellen benutzt (siehe Microsoft Exchange: Neue OWASSRF-Exploit-Methode (ProxyNotShell) durch Play-Ransomware).

FIN7-Gruppe erstellt Auto-Angriffsplattform

FIN7 ist eine russische Advanced Persistent Threat (APT) Gruppe, die seit Mitte 2015 verstärkt den US-Einzelhandels-, Restaurant- und Gastgewerbesektor ins Visier nimmt. Ein Teil von FIN7 wird von der Scheinfirma Combi Security und Bastion Secure betrieben, wie AVAST in diesem Beitrag offen legt. Es gab zwar Verhaftungen von Gruppenmitgliedern im Jahr 2018 – Sicherheitsforscher von Kaspersky haben aber weitere Angriffe und auch eine Kooperation mit der auf Banken spezialisierten Carbanak-Cybergang  beobachtet.

Von Prodraft gibt es einen Artikel vom 22. Dezember 2022, der viele interne Abläufe der Gruppe offen legt. Die Kollegen von Bleeping Computer haben dann diese Erkenntnisse in diesem Beitrag aufbereitet. Die Kurzfassung: Von Prodraft wurde ein "Checkmarks" getauftes automatisches Angriffssystem entdeckt, welches einen Scanner für Microsoft Exchange-Schwachstellen wie CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207 enthält. Die Gruppe verwendet den Scanner, um Exchange Server aufzuspüren, die hinsichtlich obiger Schwachstellen angreifbar sind.

Die Schwachstellen ermöglichen die Ausführung von Remotecode und die Erhöhung von Berechtigungen. Über verschiedene  Exploits versucht FIN7 sich dann Zugang zu den Zielnetzwerken über die angegriffenen Exchange-Server zu verschaffen. Die Checkmarks-Angriffsplattform enthält auch ein SQL-Injektionsmodul, das SQLMap verwendet, um nach potenziell ausnutzbaren Schwachstellen auf der Website eines Ziels zu suchen.

Auf diese Weise gefundene, neue Opfer werden automatisch zu einem zentralen Panel hinzugefügt. Dort können FIN7-Hacker zusätzliche Details über den kompromittierten Endpunkt abfragen. In weiteren Schritten ergänzen weitere Team-Mitglieder die Einträge um "Marketing"-Material wie Einkünfte der Opfer, Anzahl der Mitarbeiter, Details zum Unternehmen etc. Wird ein Unternehmen als lukrativer Kandidat eingestuft, geben Pentester Hinweise für einen möglichen Angriff. Die FIN7-Gruppe verfügt also über eine ausgeklügelte Organisationsstruktur, um ihre Angriffsziele auszuwählen.

Laut Prodaft wurde die Checkmarks-Plattform von FIN7 bereits genutzt, um 8.147 Unternehmen (aus 1,8 Millionen gescannter Ziele) zu infiltrieren. Dabei laufen 16,7 % der infizierten Systeme in den USA. Inzwischen gibt es einen Bericht der Sentinel Labs von November 2022, dass die FIN7-Gruppe mit der Black-Basta-Ransomware-Bande in Verbindung steht. Und das Sicherheitsunternehmen Mandiant hat  bereits im April 2022 FIN7 mit Darkside-Operationen in Verbindung gebracht.

Darüber hinaus fanden Sicherheitsforscher in den abgerufenen Jabber-Protokollen zahlreiche Beweise für die Kommunikation mit mehreren Ransomware-Gangs, darunter Darkside, REvil und LockBit. FIN7 und deren "Checkmarks" Angriffssystem haben also das Potential für größere Ransomware-Angriffswellen auf über per Sicherheitslücken angreifbare Exchange Server.

ProxyNotShell: 70.000 verwundbare Exchange-Server

Und dann ist mir von Shadowserver noch ein Tweet unter die Augen gekommen, die das Internet nach für die ProxyNotShell-Schwachstelle CVE-2022-4108 anfälligen Microsoft Exchange-Servern scannen.

Das Ergebnis dieser Scans ist, dass fast 70.000 Exchange Server weltweit gefunden wurden, die wohl keine Patches zum Schließen der ProxyNotShell-Schwachstelle CVE-2022-4108 bekommen haben. Es gibt zwar eine gewisse Unsicherheit, weil nur bestimmte Versionsinformationen abgefragt wurden. Ich hatte kürzlich im Blog-Beitrag Ärger: Schweizer NCSC informiert Kunden über unsicherere Exchange Server (Dez. 2022) berichtet, dass es bei einigen Kunden in der Schweiz da bezüglich einer Warnung der Schweizer Sicherheitsbehörde NCSC gab.

Sind die Exchange-Server nicht auf dem Patchstand von November 2022, sollte aber vorsorglich davon ausgegangen werden, dass sie bereits angegriffen und kompromittiert wurden. Das gilt auch, wenn die von Microsoft vorgeschlagenen URL-Rewrite-Regeln zur Abwehr von ProxyNotShell-Angriffen gesetzt sind. Denn ich hatte im Artikel Microsoft Exchange: Neue OWASSRF-Exploit-Methode (ProxyNotShell) durch Play-Ransomware erwähnt, dass diese Regeln durch neue Exploit-Methoden wohl umgangen werden können.

Aktuelle Daten angreifbarer Exchange Server lassen sich im Shadowserver-Dashboard abrufen. Ich habe in obigem Bild die Zahlen vom 27. Dezember 2022 für Europa anzeigen lassen. Mit über 13.000 Einträgen liegt Deutschland weit vor anderen EU-Ländern an der Spitze. Bleibt zu hoffen, dass die On-Premises Exchange Server der Blog-Leserschaft gepatcht und sauber sind.