Criminelen hacken Exchange-servers: update nu voor het te laat is!
De recente nieuwsberichten in de media over het hackercollectief dat zichzelf Hafnium noemt, zullen niemand ontgaan zijn. Deze groep hackers, naast tal van andere hackersgroeperingen, heeft momenteel zijn pijlen gericht op het misbruiken van Exchange mailservers. Dat is mogelijk doordat recentelijk een 4-tal kritische kwetsbaarheden zijn vastgesteld in de Microsoft Exchange Server, waarvoor Microsoft ondertussen patches heeft uitgebracht. Onmiddellijk updaten is de boodschap, vooraleer de aanvallers zich toegang kunnen verschaffen tot uw bedrijfsgegevens en -netwerk.
Bevinding
De geïdentificeerde kwetsbaarheden (zie verder bij “Bronnen”) worden door Microsoft als kritisch gemarkeerd en hebben betrekking op alle door Microsoft ondersteunde versies van Exchange Server (2013, 2016 en 2019).
De combinatie van deze kwetsbaarheden stelt aanvallers in staat om code van op afstand op de server te laten uitvoeren, en zo gebruikersnamen en wachtwoorden, alsook logische toegang tot de geaffecteerde server te verkrijgen. In de reeds gedetecteerde aanvallen wordt deze toegang onder andere misbruikt om alle informatie uit de Active Directory database te verkrijgen en zich toegang te verschaffen tot andere systemen in het bedrijfsnetwerk.
Ondertussen zijn tal van hackersgroeperingen met deze kwetsbaarheden aan de slag gegaan, zijn er exploits publiekelijk beschikbaar, en worden deze kwetsbaarheden ingezet bij ransomware aanvallen.
Aanbevelingen
- Installeer de updates op de exchange-server onmiddellijk zoals beschreven door Microsoft:
https://techcommunity.microsoft.com/t5/exchange-team-blog/march-2021-exchange-server-security-updates-for-older-cumulative/ba-p/2192020
- Scan uw Exchange-server op malware (Sophos InterceptX)
- Volg de aanbevelingen op van Microsoft over het vast stellen van besmetting:
Multiple Security Updates Released for Exchange Server – updated March 8, 2021 – Microsoft Security Response Center
- Evalueer of de toegang tot de OWA-functionaliteit vanaf het internet kan worden beperkt tot Microsoft IP-adressen (bv. bij gebruik van O365):
Office 365 URLs and IP address ranges – Microsoft 365 Enterprise | Microsoft Docs
Hulp nodig bij bovenstaande acties? Contacteer Cevi telefonisch op 09 264 07 01, via het Cevi/Logins Self Service Portal of mail naar contactenter@cevi.be.
Bronnen
Microsoft
- CVE-2021-26855 – https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
- CVE-2021-27065 – https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
- CVE-2021-26857 – https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
- CVE-2021-26858 – https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
Security blogs
- https://news.sophos.com/en-us/2021/03/05/hafnium-advice-about-the-new-nation-state-attack/
- Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities | Volexity
- https://www.bleepingcomputer.com/news/security/ransomware-now-attacks-microsoft-exchange-servers-with-proxylogon-exploits/