Microsoft heeft buiten de Patch Tuesday voor 4 actief aangevallen zero-day kwetsbaarheden In Exchange emergency patches uitgebracht. Het betreft hier een nieuwe door de Chinese staat gesponsorde threat actor met als doel om data te stelen.
De aanvallen worden omschreven als “gelimiteerd en doelgericht,” door Microsoft Threat Intelligence Center (MSTIC). Verder geeft MSTIC aan dat de kwaadwillende de kwetsbaarheden gebruikt om toegang te krijgen tot Exchange servers in het bedrijfsnetwerk om daarna toegang te krijgen tot e-mail accounts om de weg vrij te maken voor het installeren van additionele malware om voor langere tijd toegang te behouden tot de netwerken van de slachtoffers.
De campagne wordt met hoge zekerheid toegewezen aan de threat actor genaamd HAFIUM, een staat gesponsord hackers collectief uit China, maar daarnaast is het mogelijk dat anderen groepen ook betrokken zijn. Er wordt verwacht dat HAFIUM gebruik maakt van gehuurde privé servers in de VS om hun malafide activiteiten te verbergen.
De aanval en kwetsbaarheden
Het betreft hier een aanval in 3 fases, waarbij er gebruik wordt gemaakt van gestolen wachtwoorden of nog niet ontdekte kwetsbaarheden om toegang te krijgen tot Exchange servers, gevolgd door het uitrollen van een web shell voor beheer op afstand van de gecompromitteerde server. De laatste stap is om de toegang op afstand te gebruiken om data te stellen van mailboxen van het bedrijfsnetwerk van de organisatie en de data te exporteren naar file sharing websites zoals MEGA.
Om te zorgen dat de aanval slaagt, wordt er gebruik gemaakt van 4 zero-day kwetsbaarheden die ontdekt zijn door onderzoekers van Volexity en Dubex:
- CVE-2021-26855: A server-side request forgery (SSRF) kwetsbaarheid in Exchange Server
- CVE-2021-26857: An insecure deserialization kwetsbaarheid in the Unified Messaging service
- CVE-2021-26858: A post-authentication arbitrary file write kwetsbaarheid in Exchange
- CVE-2021-27065: A post-authentication arbitrary file write kwetsbaarheid in Exchange
Welke versies van Exchange zijn kwetsbaar?
De volgende versie van Exchange server zijn kwetsbaar voor de bovengenoemde kwetsbaarheden:
- Microsoft Exchange Server 2019
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2013
Microsoft Exchange Server 2010 krijgt ook updates, volgens Microsoft voor “Defense in Depth” doeleinden.
Meer informatie over de aanval
De initiële aanval heeft een niet vertrouwde connectie nodig naar een Exchange server op poort 443, hierdoor kan de kwetsbaarheid gemitigeerd worden door niet vertrouwde connecties te beperken of door een VPN te gebruiken om de Exchange server te scheiden van externe toegang.
De campagnes van de aanvallen zijn rond 6 januari 2021 gestart volgens Volexity en ze hebben actief misbruik van meerdere Exchange kwetsbaarheden gezien in het wild om e-mails te stelen en netwerken te compromitteren.
“De aanvallers zijn eerst vooral onder de radar gebleven door alle e-mails te stelen, maar ze zijn recent begonnen met het gebruiken van exploits om een betere positie te krijgen voor later,” geven Volexity onderzoekers Josh Grunzweig, Matthew Meltzer, Sean Koessel, Steven Adair, en Thomas Lancaster aan in hun blog.
“Vanuit het perspectief van Volexity, het misbruiken betreft meerder operators die veel verschillen tools en methodes gebruiken voor het dumpen van credentials, lateraal bewegen en het plaatsen van backdoors op systemen.”
Naast de patches is er door Microsoft Senior Threat Intelligence Analyst Kevin Beaumont een nmap plugin gemaakt, waarmee het netwerk gescand kan worden voor mogelijk kwetsbare Microsoft Exchange Servers.
Updates
Voor de volgende specifieke versies zijn de updates beschikbaar:
- Exchange Server 2010 (for Service Pack 3 – this is a Defense in Depth update)
- Exchange Server 2013 (CU 23)
- Exchange Server 2016 (CU 19, CU 18)
- Exchange Server 2019 (CU 8, CU 7)
Het gaat om KB5000871, waarin ook enkele andere Exchange kwetsbaarheden worden verholpen naast de genoemde 4 in een hoofdstuk hierboven.
Om te controleren of je bij bent met updates kan het Exchange Server Health Checker script gebruikt worden dat kan gedownload worden van GitHub. (Werkt niet op Exchange Server 2010).
Advies
Er wordt aan iedereen geadviseerd die gebruikt maakt van een kwetsbare versie van Microsoft Exchange Server om de uitgebrachte updates KB5000871 z.s.m. te installeren op deze servers, aangezien deze actief misbruikt worden.
Daarnaast kan de nmap plugin gebruikt worden om te controleren of er kwetsbare Exchange Servers aanwezig zijn in je bedrijfsnetwerk en/of het Exchange Server Health Checker scrip om te controleren of de patches van de Exchange Servers bij zijn.
Als mitigatie wordt geadviseerd om niet vertrouwde connecties te beperken of door gebruik te maken van een VPN om bij de Exchange server te komen.
Eerdere berichten
Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:
