Massaal benutte kwetsbaarheden in MS Exchange Server

Microsoft heeft out-of-band patches uitgegeven voor verschillende kwetsbaarheden in Exchange Server Vier van deze kwetsbaarheden worden volgens het bedrijf al gebruikt voor gerichte aanvallen, dus het is zaak om deze patches zo snel mogelijk te installeren.

Wat is het risico?

De vier gevaarlijkste kwetsbaarheden die al benut worden stellen aanvallers in staat om een aanval die uit drie fases bestaat uit te voeren. Eerst verkrijgen ze toegang tot de Exchange-server, vervolgens creëren ze een web shell voor toegang op afstand tot de server, en ten slotte gebruiken ze die toegang om gegevens van het netwerk van slachtoffers te stelen. De kwetsbaarheden zijn:

• CVE-2021-26855— kan worden gebruikt voor vervalsing van server-aanvragen, wat leidt tot het op afstand uitvoeren van code;
• CVE-2021-26857 — kan worden gebruikt om willekeurige code uit te voeren namens het systeem (hoewel dat ofwel beheerdersrechten vereist ofwel het benutten van de vorige kwetsbaarheid);
• CVE-2021-26858 en CVE-2021-27065 — kan door een aanvaller gebruikt worden om bestanden op een server te overschrijven.

Cybercriminelen gebruiken de vier kwetsbaarheden in combinatie met een andere. Volgens Microsoft gebruiken ze soms echter in plaats van een initiële aanval gestolen inloggegevens en authentiseren ze zichzelf op de server zonder gebruik te maken van de CVE-2021-26855-kwetsbaarheid.

Daarnaast lost dezelfde patch een aantal andere kleinere kwetsbaarheden in Exchange op die niet (voor zover we weten) direct gerelateerd zijn aan de actieve gerichte aanvallen.

Wie loopt er risico?

De cloud-versie van Exchange wordt niet beïnvloed door deze kwetsbaarheden. Ze vormen alleen een risico voor servers die binnen de infrastructuur worden gebruikt. In eerste instantie bracht Microsoft updates uit voor Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 en Microsoft Exchange Server 2019, en de aanvullende “Defense in Depth”-update voor Microsoft Exchange Server 2010. Vanwege de ernst van de kwetsbaarheid voegden ze later echter ook oplossingen toe voor verouderde Exchange Servers.

Volgens onderzoekers bij Microsoft waren het de hackers van de groep Hafnium die de kwetsbaarheden benutten om vertrouwelijke informatie te stelen. Hun doelwitten omvatten industriële bedrijven in de VS, onderzoekers van besmettelijke ziektes, advocatenkantoren, non-profitorganisaties en politieke analisten. Het precieze aantal slachtoffers is vooralsnog onbekend, maar volgens bronnen van KrebsOnSecurity zijn er ten minste 30.000 organisaties in de VS gehackt met gebruik van deze kwetsbaarheden, waaronder kleine bedrijven, stadsbesturen en lokale regeringen. Onze experts ontdekten dat niet alleen Amerikaanse organisaties gevaar lopen, want cybercriminelen van over de hele wereld maken gebruik van deze zwakke plekken. U kunt meer informatie vinden over de aanvalsgeografie in de post van Securelist.

Hoe beschermt u zich tegen aanvallen op MS Exchange?

• Installeer allereerst de patch voor uw Microsoft Exchange Server. Als uw bedrijf geen updates kan installeren, raadt Microsoft een aantal workarounds aan.
• Volgens Microsoft kan het weigeren van niet-vertrouwde toegang tot de Exchange-server via poort 443 of het in het algemeen beperken van verbindingen van buiten het bedrijfsnetwerk de initiële fase van de aanval een halt toeroepen. Maar dat helpt niet als de aanvallers de infrastructuur al binnen zijn gedrongen of als ze een gebruiker met beheerdersrechten zo ver krijgen om een schadelijk bestand te runnen.
• Een Endpoint Detection and Response-oplossing (als u interne experts hebt) of externe Managed Detection and Response-specialisten kunnen dit soort schadelijk gedrag detecteren.
• Houd er altijd rekening mee dat elke computer die verbonden is met het internet, of dat nu een server of werkstation is, een betrouwbare endpoint-beveiligingsoplossing moet hebben om op proactieve wijze schadelijk gedrag te detecteren.