APT’s nemen Microsoft Exchange servers over door recente kwetsbaarheid

Meerdere APT’s (Advanced Persistent Threats) maken via exploits misbruik van een recente kwetsbaarheid in Microsoft Exchange Servers. Deze exploit pogingen zijn het eerst gezien door het Cybersecurity bedrijf Volexity op vrijdag 6 maart en op 9 maart bevestigd aan ZDNet via een bron binnen de United States Department of Defense (DoD).

De bron van de DoD geeft aan dat alle grote spelers misbruik maken van de kwetsbaarheid, maar geeft geen namen van de groepen of landen. Het Cybersecurity bedrijf Volexity heeft aan Threatpost aangegeven dat ze meerdere Chinese APT groepen hebben gezien.

Wat is deze kwetsbaarheid

Het betreft de Microsoft Exchange Validation Key Remote Code Execution Vulnerability (CVE-2020-0688), waarvoor patches zijn uitgebracht door Microsoft in de February Patch Tuesday. De volgende details zijn bekend over de kwetsbaarheid:

  • Tijdens de installatie van een Microsoft Exchange Server wordt er geen unieke cryptografische sleutel gemaakt voor het Exchange Control Panel (ECP);
  • Dit betekend dat alle Microsoft Exchange email Servers die zijn uitgebracht in de laatste 10 jaar en ouder gebruik maken van dezelfde cryptografische sleutels (“validationKey” en “decryptionKey”) voor de backend van het Control Panel;
  • Aanvallers kunnen aangepaste verzoeken sturen naar het Exchange Control Panel, welke kwaadaardige geserialiseerde data;
  • De aanvallers weten de encryptiesleutels van het Control Panel, zodat ze ervoor kunnen zorgen dat de geserialiseerde data wordt omgezet naar niet-geserialiseerde data en dit zorgt ervoor dat er kwaadaardige code draait op de backend van de Exchange Server;
  • Deze kwaadaardige code draait met systeem privileges, waarmee aanvallers de volledige controle krijgen over de Exchange Server.

Welke versies zijn kwetsbaar?

De volgende versies van Microsoft Exchange Server zijn kwetsbaar

  • Microsoft Exchange Server 2019;
  • Microsoft Exchange Server 2016;
  • Microsoft Exchange Server 2013;
  • Microsoft Exchange Server 2010.

Oudere versies van Microsoft Exchange Server zijn niet kwetsbaar, omdat het ECP voor het eerst is geïntroduceerd in Exchange Server 2010.

Wordt de kwetsbaarheid actief misbruikt?

Het Zero-Day Initiative, welke de kwetsbaarheid hebben gemeld aan Microsoft, brachten op 24 februari 2020 een technisch rapport uit over wat de kwetsbaarheid is en hoe deze werkt. Veel security onderzoekers maakten gebruik van dit rapport om verschillende proof-of-concepts met exploit code te maken om zo hun eigen servers te testen en “detection rules” te maken. Minimaal 3 van deze proof-of-concepts zijn geplaatst op Github. Daarna is er op 4 maart een Metasploit module uitgebracht door Rapid7.

Op 26 februari 2020 heeft het threat intel bedrijf Bad Packets de eerste scans gezien van hacker groepen naar kwetsbare Exchange Servers om op een later tijdstip misbruik van te maken.

De eerste exploit pogingen zijn op 6 maart gezien door het Cybersecurity bedrijf Volexity, er wordt op dit moment actief misbruik van de kwetsbaarheid gemaakt. Vooral APT’s maken op dit moment actief misbruik van de kwetsbaarheid en naar verwachting zullen ook andere groepen hier misbruik van gaan maken zoals ransomware groepen.

Naar verwachting zullen script kiddies (hackers met weinig ervaring) geen misbruikt maken van de kwetsbaarheid, omdat het niet eenvoudig is om misbruik van te maken.

Hoe wordt er misbruik van gemaakt

Om misbruik te kunnen maken van de kwetsbaarheid heeft een hacker de credentials nodig van een email account dat zich bevindt op de Exchange Server. De kwetsbaarheid wordt ook wel een “post-authentication bug” genoemd, omdat hackers eerst moeten inloggen om de kwaadaardige payload te laten draaien dat een Exchange Server van een slachtoffer kan overnemen.

APT’s en ransomware groepen besteden veel tijd aan het lanceren van verschillende phishing campagnes, waarmee ze email credentials kunnen verkrijgen van medewerkers van de bedrijven die hier intrappen en hun credentials invullen.

Wanneer een organisatie two-factor authenticatie (2FA) afdwingt voor email account, dan kunnen deze credentials niet gebruikt worden, omdat de hackers niet om 2FA heen kunnen.

Door de kwetsbaarheid kan er wel misbruik gemaakt worden van oudere credentials van de 2FA-beschermde accounts, welke in eerdere campagnes zijn verkregen maanden of jaren van tevoren. Al deze credentials kunnen gebruikt worden door de hackers, zonder dat ze om 2FA heen hoeven te gaan, maar kunnen nog steeds de Exchange Server overnemen.

Verder zijn natuurlijk ook alle accounts te gebruiken waarvoor 2FA niet is afgedwongen of zelfs uitgeschakeld, aangezien de hackers via de phishing campagnes deze bemachtigd hebben.

Daarnaast zijn er ook APT groepen bezig met brute-force aanvallen om via deze weg credentials voor accounts te verkrijgen.

Is uw Exchange Server al overgenomen?

Gezien de kwetsbaarheid op dit moment actief wordt misbruikt is het mogelijk dat uw Exchange server al overgenomen is. Security bedrijf TrustedSec heeft verschillende “Indicators of Compromise” beschreven waarmee het mogelijk is vast te stellen dat een Exchange Server is overgenomen. Hiervoor moeten de Event Logs, ISS logs en de Activity en ServerException logs van de Exchange Server bekeken worden. Daarnaast is er ook een indicatie wanneer het IIS worker proces w3wp.exe draait met daaronder een calculator (calc.exe).

Zijn er patches/updates beschikbaar?

Microsoft heeft op 11 februari Security Patches uitgebracht voor de volgende producten:

  • Microsoft Exchange Server 2019 Cumulative Update 4;
  • Microsoft Exchange Server 2019 Cumulative Update 3;
  • Microsoft Exchange Server 2016 Cumulative Update 15;
  • Microsoft Exchange Server 2016 Cumulative Update 14;
  • Microsoft Exchange Server 2013 Cumulative Update 23;
  • Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30.

Advies

Wij adviseren iedereen die gebruikt maakt van Exchange Server 2010, 2013, 2016 of 2019 om de uitgebrachte Security patches van Microsoft z.s.m. te installeren. Wanneer er nog gebruik wordt gemaakt van versie waarvoor geen Security patches zijn uitgebracht, adviseren wij om naar een van de versies te updaten welke genoemd zijn in het kopje hierboven.

Ook adviseren wij om via de pagina van TrustedSec te controleren of uw Exchange server mogelijk al overgenomen is, wanneer de Security patch op dit moment nog niet is doorgevoerd of mogelijk te laat is doorgevoerd.

Daarnaast adviseren wij iedereen om 2FA af te dwingen voor alle e-mail accounts van de gebruikers van de organisatie en het wachtwoord voor al deze accounts opnieuw in te laten stellen, zodat wanneer credentials buit zijn gemaakt bij recente phishing campagnes deze niet meer werken.

Verder is het aan te raden om bezig te zijn met Security Awareness campagnes om je medewerkers onder andere te trainen in het herkennen van phishingmails.

 

 

Meer dan 200.000 websites kwetsbaar door kritieke fout in WordPress plug-in
COVID-19 (Corona virus)

Gerelateerde berichten

security awareness training

Security Awareness trainingen moeten regelmatig herhaald worden

Microsoft

Zerologon kritieke kwetsbaarheid in Windows Server maakt het mogelijk om domain controllers over te nemen

Microsoft

Kritieke kwetsbaarheid CVE-2020-16875 in Microsoft Exchange maakt RCE mogelijk

cisco

Cisco IOS XR zero-day kwetsbaarheid actief misbruikt

thuiswerken

Thuiswerken zorgt voor een toename aan security incidenten

MS Teams

Microsoft Teams Updater misbruikt om “living of the land” aanvallen uit te voeren

teamviewer

TeamViewer kwetsbaarheid kan hackers het systeemwachtwoord laten stelen

Trickbot

Nieuwe string TrickBot Anchor Malware infecteert zowel Linux- als Windows-systemen

BootHole

BootHole kwetsbaarheid maakt devices met Secure Boot kwetsbaar voor aanvallen

cisco

Kwetsbaarheid in Cisco FTD en ASA zorgt voor lek van gevoelige data

emotet

Emotet botnet keert na 5 maanden terug

sigred kwetsbaarheid

SIGRed, een “wormable” kritieke kwetsbaarheid in Windows DNS-Server

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

negentien − zeven =

Menu