4 actief aangevallen zero-day kwetsbaarheden in Exchange gepatcht door Microsoft

Microsoft heeft buiten de Patch Tuesday voor 4 actief aangevallen zero-day kwetsbaarheden In Exchange emergency patches uitgebracht. Het betreft hier een nieuwe door de Chinese staat gesponsorde threat actor met als doel om data te stelen.

De aanvallen worden omschreven als “gelimiteerd en doelgericht,” door Microsoft Threat Intelligence Center (MSTIC). Verder geeft MSTIC aan dat de kwaadwillende de kwetsbaarheden gebruikt om toegang te krijgen tot Exchange servers in het bedrijfsnetwerk om daarna toegang te krijgen tot e-mail accounts om de weg vrij te maken voor het installeren van additionele malware om voor langere tijd toegang te behouden tot de netwerken van de slachtoffers.

De campagne wordt met hoge zekerheid toegewezen aan de threat actor genaamd HAFIUM, een staat gesponsord hackers collectief uit China, maar daarnaast is het mogelijk dat anderen groepen ook betrokken zijn. Er wordt verwacht dat HAFIUM gebruik maakt van gehuurde privé servers in de VS om hun malafide activiteiten te verbergen.

De aanval en kwetsbaarheden

Het betreft hier een aanval in 3 fases, waarbij er gebruik wordt gemaakt van gestolen wachtwoorden of nog niet ontdekte kwetsbaarheden om toegang te krijgen tot Exchange servers, gevolgd door het uitrollen van een web shell voor beheer op afstand van de gecompromitteerde server. De laatste stap is om de toegang op afstand te gebruiken om data te stellen van mailboxen van het bedrijfsnetwerk van de organisatie en de data te exporteren naar file sharing websites zoals MEGA.

Om te zorgen dat de aanval slaagt, wordt er gebruik gemaakt van 4 zero-day kwetsbaarheden die ontdekt zijn door onderzoekers van Volexity en Dubex:

  • CVE-2021-26855: A server-side request forgery (SSRF) kwetsbaarheid in Exchange Server
  • CVE-2021-26857: An insecure deserialization kwetsbaarheid in the Unified Messaging service
  • CVE-2021-26858: A post-authentication arbitrary file write kwetsbaarheid in Exchange
  • CVE-2021-27065: A post-authentication arbitrary file write kwetsbaarheid in Exchange

Welke versies van Exchange zijn kwetsbaar?

De volgende versie van Exchange server zijn kwetsbaar voor de bovengenoemde kwetsbaarheden:

  • Microsoft Exchange Server 2019
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2013

Microsoft Exchange Server 2010 krijgt ook updates, volgens Microsoft voor “Defense in Depth” doeleinden.

Meer informatie over de aanval

De initiële aanval heeft een niet vertrouwde connectie nodig naar een Exchange server op poort 443, hierdoor kan de kwetsbaarheid gemitigeerd worden door niet vertrouwde connecties te beperken of door een VPN te gebruiken om de Exchange server te scheiden van externe toegang.

De campagnes van de aanvallen zijn rond 6 januari 2021 gestart volgens Volexity en ze hebben actief misbruik van meerdere Exchange kwetsbaarheden gezien in het wild om e-mails te stelen en netwerken te compromitteren.

“De aanvallers zijn eerst vooral onder de radar gebleven door alle e-mails te stelen, maar ze zijn recent begonnen met het gebruiken van exploits om een betere positie te krijgen voor later,” geven Volexity onderzoekers  Josh Grunzweig, Matthew Meltzer, Sean Koessel, Steven Adair, en Thomas Lancaster aan in hun blog.

“Vanuit het perspectief van Volexity, het misbruiken betreft meerder operators die veel verschillen tools en methodes gebruiken voor het dumpen van credentials, lateraal bewegen en het plaatsen van backdoors op systemen.”

Naast de patches is er door Microsoft Senior Threat Intelligence Analyst Kevin Beaumont een nmap plugin gemaakt, waarmee het netwerk gescand kan worden voor mogelijk kwetsbare Microsoft Exchange Servers.

Updates

Voor de volgende specifieke versies zijn de updates beschikbaar:

Het gaat om KB5000871, waarin ook enkele andere Exchange kwetsbaarheden worden verholpen naast de genoemde 4 in een hoofdstuk hierboven.

Om te controleren of je bij bent met updates kan het Exchange Server Health Checker script gebruikt worden dat kan gedownload worden van  GitHub. (Werkt niet op Exchange Server 2010).

Advies

Er wordt aan iedereen geadviseerd die gebruikt maakt van een kwetsbare versie van Microsoft Exchange Server om de uitgebrachte updates KB5000871 z.s.m. te installeren op deze servers, aangezien deze actief misbruikt worden.

Daarnaast kan de nmap plugin gebruikt worden om te controleren of er kwetsbare Exchange Servers aanwezig zijn in je bedrijfsnetwerk en/of het Exchange Server Health Checker scrip om te controleren of de patches van de Exchange Servers bij zijn.

Als mitigatie wordt geadviseerd om niet vertrouwde connecties te beperken of door gebruik te maken van een VPN om bij de Exchange server te komen.

Source

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

Kritieke RCE kwetsbaarheden voor VMware ESXi en vSphere Client
Een tikkende tijdbom

Gerelateerde berichten

VMware

Kritieke Cloud kwetsbaarheid in VMWare Carbon Black

Apple brengt urgente patch uit voor actief aangevallen zero-day kwetsbaarheid

f5 kwetsbaarheid

Kritieke F5 BIG-IP kwetsbaarheid na PoC actief aangevallen

Mirai

Nieuwe Mirai botnet variant richt zich op SonicWall, D-link, Netgear en IoT devices

Een tikkende tijdbom

VMware

Kritieke RCE kwetsbaarheden voor VMware ESXi en vSphere Client

Microsoft

Microsoft trekt defecte servicing stack update in na problemen voor gebruikers

Ransomware

De huidige Ransomware en Phishing aanvallen Trends

phishing

UPDATE: Agent Tesla Malware gespot met nieuwe bezorg- en ontwijktechnieken

Android malware

Nieuwe wormachtige Android malware verspreid zich via WhatsApp

dnsspooq

DNSpooq een verzameling van verschillende kwetsbaarheden voor DNSMasq DNS Forwarder

malware

Kwaadaardige software infrastructuur eenvoudiger te verkrijgen en uit te rollen dan ooit

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

twintig − 10 =

Menu