ProxyShell
Was ist ProxyShell?
ProxyShellExploit-Kette von 2021 in Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207), die drei Lücken zu einer unauthentifizierten Remote-Code-Ausführung kombinierte.
ProxyShell ist die Bezeichnung für eine Kette aus drei Microsoft-Exchange-Server-Schwachstellen, die der Forscher Orange Tsai (DEVCORE) auf der Pwn2Own 2021 demonstrierte und auf der Black Hat USA im Detail vorstellte. Die Kette verknüpft eine Pre-Authentication-Schwachstelle durch Path-Confusion/SSRF in der Autodiscover-Verarbeitung des Client Access Service (CVE-2021-34473), eine Schwachstelle zur Rechteausweitung im PowerShell-Backend von Exchange (CVE-2021-34523) und ein beliebiges Schreiben von Dateien nach der Authentifizierung über die Postfach-Exportfunktion von PowerShell (CVE-2021-31207).
Der Exploit funktioniert, weil das Exchange-Frontend Anfragen mit dem mächtigen Maschinenkontext NT AUTHORITY\SYSTEM an die Backend-Endpunkte weiterleitet. Indem der Angreifer eine präparierte Autodiscover-URL einschleust, erreicht er das PowerShell-Backend als privilegierter Benutzer, erzeugt ein erhöhtes Token und nutzt anschließend einen Postfach-Export, um eine PST-Datei mit einer Web-Shell in ein aus dem Internet erreichbares Verzeichnis zu schreiben — und verwandelt so drei Fehler „geringerer Schwere" in eine unauthentifizierte SYSTEM-RCE. Verwirrenderweise wurden CVE-2021-34473 und CVE-2021-34523 bereits im kumulativen Update vom April 2021 stillschweigend behoben, bevor die Advisories im Juli erschienen, sodass viele Administratoren nicht bemerkten, dass sie betroffen waren.
Massenscans und das Ausbringen von .aspx-Web-Shells begannen innerhalb weniger Tage nach den Advisories vom August 2021; die Ransomware-Familien LockFile und Conti nutzten die Kette für den Erstzugang. Schutzmaßnahmen: die kumulativen Updates von 2021 einspielen, den Exchange Emergency Mitigation Service aktivieren, nach unerwarteten Web-Shells suchen und davon ausgehen, dass eine Kompromittierung des On-Premise-Exchange dem Patchen vorausgeht.
flowchart TD A[Unauthentifizierter Angreifer] --> B[Präparierte Autodiscover-URL<br/>CVE-2021-34473 Path-Confusion/SSRF] B --> C[Frontend leitet an Backend weiter<br/>als NT AUTHORITY/SYSTEM] C --> D[Erreicht Exchange-PowerShell-Backend<br/>CVE-2021-34523 Rechteausweitung] D --> E[New-MailboxExportRequest<br/>CVE-2021-31207 beliebiges Dateischreiben] E --> F[Schreibt .aspx-Web-Shell<br/>in aus dem Web erreichbaren Pfad] F --> G[Remote-Code-Ausführung als SYSTEM] G --> H[Ransomware / Lateral Movement]
● Beispiele
- 01
Angreifer setzen ASPX-Web-Shells auf aus dem Internet erreichbaren Exchange-Servern aus, unmittelbar nachdem die ProxyShell-PoCs veröffentlicht wurden.
- 02
Ransomware-Gruppen nutzen ProxyShell als Initial-Access-Vektor, bevor sie die Netzwerke der Opfer verschlüsseln.
● Häufige Fragen
Was ist ProxyShell?
Exploit-Kette von 2021 in Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207), die drei Lücken zu einer unauthentifizierten Remote-Code-Ausführung kombinierte. Es gehört zur Kategorie Schwachstellen der Cybersicherheit.
Was bedeutet ProxyShell?
Exploit-Kette von 2021 in Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207), die drei Lücken zu einer unauthentifizierten Remote-Code-Ausführung kombinierte.
Wie schützt man sich gegen ProxyShell?
Schutzmaßnahmen gegen ProxyShell kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für ProxyShell?
Übliche alternative Bezeichnungen: Exchange ProxyShell, Orange Tsai Exchange chain.