Mapping MITRE ATT&CK zu den Microsoft Exchange Zero-Day Exploits

WARUM MAP THE MICROSOFT EXCHANGE EXPLOIT TO MITRE ATT&CK?

Digital Shadows wird diesen Blog weiterhin aktualisieren, wenn neue Details dieser bösartigen Operation auftauchen. In der Zwischenzeit ist es nützlich, das MITRE ATT&CK-Framework den von Microsoft über diese ausgeklügelte Kampagne offengelegten Informationen zuzuordnen, um den Modus Operandi der beteiligten Bedrohungsakteure zu verstehen und Ihr Unternehmen besser vor potenziellen Bedrohungen zu schützen. Lassen Sie uns kurzerausnahmst unsere Kompasse und Abenteuerschuhe packen und mit dieser Orientierungsübung beginnen.

T1595 – Aktives Scannen

Angreifer haben das Internet aktiv durchsucht, um lokale Microsoft Exchange Server-Versionen zu finden, die ungerechtfertigte externe Verbindungen an Port 443 empfangen können. Laut Volexity benötigen die Angreifer nur die externe IP-Adresse oder den Domänennamen eines öffentlich verfügbaren Exchange-Servers, um die Zero-Day-Schwachstellen zu nutzen und unberechtigten Zugriff auf die Zielumgebung zu erhalten. Diese Technik kann nicht leicht gemildert werden, da sie Verhaltensweisen umfasst, die nicht von Sicherheitstools gesteuert werden können. Durch das Anwenden der Microsoft-Patches werden Organisationen jedoch wahrscheinlich nicht ins Visier genommen, da sich die Angreifer wahrscheinlich auf die anfälligen konzentrieren.

T1078 – Gültige Konten

Es gibt zwei Hauptmöglichkeiten, um Zugriff auf einen Microsoft Exchange Server zu erhalten: entweder durch gestohlene gültige Kontoanmeldeinformationen oder durch die Nutzung von Zero-Day-Schwachstellen, um als legitimer und autorisierter Benutzer angezeigt zu werden. CVE-2021-26855 ist eine Serverseitige SSRF-Schwachstelle (SSRF), die es Angreifern ermöglicht, speziell gestaltete HTTP-Anforderungen zu senden und sich als Exchange-Server zu authentifizieren. Diese Sicherheitsanfälligkeit kann aus der Ferne ausgenutzt werden und erfordert keine besonderen Kenntnisse der Zielumgebung. Bei den beobachteten Angriffen wurde diese Sicherheitsanfälligkeit häufig an andere Nulltage angekettet, die es Angreifern ermöglichten, Code als SYSTEM in Exchange auszuführen.

T1072 – Softwarebereitstellung

Die Tools CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 werden ebenfalls genutzt, um Remote Code Execution (RCE) auf Zielsystemen zu ermöglichen. Diese Sicherheitsanfälligkeit nach der Authentifizierung ermöglichte es den Angreifern, eine Datei auf den Serverpfad zu schreiben und zusätzliche böswillige Aktionen auf den Exchange-Servern auszuführen. Diese Funktion kann verwendet werden, um seitlich durch das Netzwerk zu bewegen, wertvolle Informationen zu extrahieren und weitere Malware im System bereitzustellen. In diesem speziellen Szenario wurden Angreifer häufig mithilfe von Webshells gefunden, um weiterhin Zugriff in der Opferumgebung zu erhalten.

T1505.003 – Server-Softwarekomponente: Web-Shell

Laut MITRE können „Gegner Webserver mit Web-Shells hinter die Tür stellen, um dauerhaften Zugriff auf Systeme herzustellen“ – und genau das taten Angreifer bei den beobachteten Operationen. Durch die Bereitstellung von Webshells auf den kompromittierten Servern schaffen die Angreifer einen dauerhaften Weg in das Netzwerk, der es ihnen ermöglicht, eine Reihe von Aktionen auszuführen, einschließlich Diebstahl von Anmeldeinformationen, Datenexfiltration, seitliche Bewegung, Praktische Tastaturaktivität und Bereitstellung zusätzlicher Nutzlasten.