Microsoft Exchange beveiligingslek - Wat betekent dat exact voor jou?

Gepubliceerd op 9 maart 2021 om 10:20

Het kwam al vaak in de pers en ook op de sociale media lopen de discussies en gissingen sterk op. Laat ons even kijken wat er exact aan de hand is.

Belangt het jou aan?

Maakt je organisatie gebruik van Microsoft Exchange server versie 2013 tot 2019 en is die server publiek bereikbaar via het internet (bijvoorbeeld via de owa module voor webmail), dan lees je dit artikel beter verder. Dit kan dus gaan over Exchange servers die je binnen je bedrijf hebt staan, in een extern datacenter maar ook Microsoft Exchange instances in AWS of Azure.

Gebruik je bijvoorbeeld uitsluitend Microsoft Office 365 met exchange online of een andere e-mail server toepassing die niet van Microsoft is, dan hoef je niet verder te lezen.

Waarover gaat het?

In de Microsoft e-mail server toepassing Microsoft Exchange werden recent 4 kwetsbaarheden ontdekt die door Chinese hackers intensief misbruikt worden. Deze groepering heeft zich gericht op het stelen van e-mails maar geeft de hackers ook de volledige controle over de e-mail servers. Er zijn ondertussen meer dan 30.000 Amerikaanse bedrijven die bevestigd hebben het slachtoffer te zijn maar ook Europese bedrijven blijken ondertussen slachtoffer te zijn. Onder deze slachtoffers bevinden zich zowel grote als kleine bedrijven. De eerste sporen van misbruik van deze lekken dateren al van januari dit jaar.

Wat is de exacte bedreiging?

Naast het feit dat de hackers toegang hebben tot alle communicatie op de e-mail server

  • Hebben ze de mogelijkheid om e-mails te wijzigen en verdachte links toe te voegen
  • De indringers hebben op iedere server die ze benaderd hebben een eenvoudige toepassing met paswoordbeveiliging geïnstalleerd die hen toelaat om de server via een browser van om het even waar te benaderen en met administratieve rechten wijzigingen aan te brengen
  • De indringers proberen via de geïnstalleerde backdoor ook andere servers in het netwerk over te nemen of de nodige tools te installeren om deze later terug over te nemen.

Hou er rekening mee dat het goed mogelijk is dat je Exchange Server(s) al gecompromiteerd is/zijn maar dat je daar nog geen nadelen van ondervindt. Daarom dat het goed is om altijd de controle te doen of de kwetsbaarheid op je systemen bestaat en of er al misbruik van gemaakt werd, bijvoorbeeld dat er wel al backdoors geïnstalleerd werden maar nog niet actief gebruikt werden. Zo kan je erger in ieder geval proberen te voorkomen.

Wat kan je doen?

Microsoft heeft op 2 maart al emergency security update uitgerold die deze 4 gaten in de beveiliging afdichten. De patches lossen de kwetsbaarheid op maar verwijderen de geïnstalleerde backdoors en andere tooling NIET.

Er zijn 2 zaken belangrijk:

  1. Ga na of de Exchange Server(s) binnen jouw organisatie kwetsbaar is/zijn. Microsoft heeft een script vrijgegeven dat controleert of de URL waarop je e-mailserver te bereiken is, kwetsbaar is voor de Exchange Server SSRF Vulnerability CVE-2021-26855 (https://github.com/microsoft/CSS-Exchange/blob/main/Security/http-vuln-cve2021-26855.nse). Is er geen kwetsbare server gevonden, installeer dan onmiddellijk de Microsoft patches.
  2. Zijn er wel kwetsbare servers gevonden, dan neem je dit best ernstig. Lees je best even het artikel van Microsoft dat je kan helpen bij je verdere onderzoek ( https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/). Indien je zelf niet de nodige kennis in huis hebt om deze analyse te maken dan laat je je best ondersteunen door een gespecialiseerde partij.

 

 

Scan voor Exchange Zero Days kwetsbaarheden

Controleer snel of je zelf slachtoffer werd van de laaste  Microsoft Exchange Zero Days kwetsbaarheden.

Scan je servers met de  SecpointPenetrator of contacteer ons via het contactformulier zodat wij dit voor jou kunnen doen.

Met behulp van de Secpoint Penetrator ontdek je ook indien je door bots die sporen nalaten werd gehackt. 

CVE-2021-26855 Server Side Request Forgery (SSRF)
CVE-2021-26857 Insecure Deserialization
CVE-2021-26858 Arbitrary File Write
CVE-2021-27065 Arbitrary File Write

Het Amerikaanse CISA (Cybersecurity & Infrastructure Security Agency) adviseert om geïnfecteerde servers onmiddellijk uit je netwerk te halen om de impact te beperken. Pas na analyse en remediëring kan je deze terug veilig online brengen.

Bronnen:

  • https://krebsonsecurity.com/2021/03/at-least-30000-u-s-organizations-newly-hacked-via-holes-in-microsofts-email-software/
  • https://cyber.dhs.gov/ed/21-02/
  • https://www.cisa.gov/ed2102