Reportage
Er komen steeds meer details naar boven sinds de bekendmaking van zero-day-kwetsbaarheden en aanvallen in Microsoft Exchange Server, inclusief het brede scala aan potentiële slachtoffers.
Hoewel de aanvallen op Microsoft Exchange-servers zich blijven ontwikkelen en er vragen blijven bestaan over het aantal getroffen organisaties, is de omvang en ernst van de dreiging aanzienlijk toegenomen.
Microsoft heeft begin maart meerdere zero-day-kwetsbaarheden bekendgemaakt die worden uitgebuit door een Chinese natiestaatdreigingsgroep om lokale versies van Microsoft Exchange-e-mailservers aan te vallen. De technologiegigant bracht updates uit voor alle vier de kwetsbaarheden en adviseerde klanten de updates onmiddellijk toe te passen op getroffen systemen vanwege de aanhoudende aanvallen.
Wat Microsoft aanvankelijk ‘beperkte en gerichte aanvallen’ noemde, is misschien niet zo beperkt.
Naarmate er meer details bekend werden, nam het aantal slachtoffers en aanvallers toe. De situatie verontrustte zowel particuliere beveiligingsbedrijven als overheidsinstanties; het Cybersecurity and Infrastructure Security Agency (CISA)een noodrichtlijn uitgevaardigdeen dag nadat Microsoft de aanval had onthuld.
"CISA heeft vastgesteld dat deze exploitatie van lokale Microsoft Exchange-producten een onaanvaardbaar risico vertegenwoordigt voor agentschappen van de Federal Civil Executive Branch en noodmaatregelen vereist. Deze vaststelling is gebaseerd op de huidige exploitatie van deze kwetsbaarheden in de natuurlijke omgeving, de waarschijnlijkheid dat de kwetsbaarheden zullen worden uitgebuit , de prevalentie van de getroffen software in de federale onderneming, de grote kans op een compromis van de informatiesystemen van het agentschap, en de potentiële impact van een succesvol compromis”, aldus de verklaring.
Dagen later, de CISAnog een verklaring afgegevendat Microsoft een tool voor het detecteren van bedreigingen heeft uitgebracht om Exchange-logbestanden te scannen op indicatoren van compromis (IOC); Microsoft heeft een extra tool uitgebracht die scant op webshells die aanvallers mogelijk in de omgeving van de slachtoffers hebben gemaakt. De National Security Council van het Witte Huis zei zaterdag dat bedrijven ondanks patches en mitigatietools nog steeds voorzichtig moeten zijn.
“Patchen en mitigeren is geen herstel als servers al zijn gehackt. Het is essentieel dat elke organisatie met een kwetsbare server onmiddellijk stappen onderneemt om te bepalen of deze al zijn gecompromitteerd.”schreef op Twitterde Nationale Veiligheidsraad.
De kwetsbaarheden
Er zijn vier kwetsbaarheden gerelateerd aan Exchange Server-aanvallen, waarvan CVE-2021-26855 de ernstigste is. Deze zero-day, ook bekend als "ProxyLogon", is een kwetsbaarheid voor server-side request forgery (SSRF).ProxyLogonwerd in december 2020 ontdekt door een anonieme dreigingsonderzoeker bij Devcore, een adviesbureau voor informatiebeveiliging in Taiwan.
Later in december ontdekte Devcore een tweede kwetsbaarheid in de Exchange Server, CVE-2021-27065, een willekeurige schrijffout na authenticatie. Devcore ontdekte dat het koppelen van dit beveiligingslek aan ProxyLogon een RCE-exploit (Remote Code Execution) opleverde, en ze rapporteerden beide bugs op 5 januari aan Microsoft. Microsoft bevestigde de ontvangst van het rapport de volgende dag en liet Devcore op 8 januari weten dat de kwetsbaarheid en het gekoppelde exploitgedrag waren gerepliceerd.
In de loop van het onderzoek naar ProxyLogon ontving Microsoft meldingen van bedreigingsactiviteiten van Volexity, een leverancier van incidentrespons gevestigd in Washington D.C., en Dubex, een adviesbureau voor informatiebeveiliging gevestigd in Denemarken. De bedreigingen hadden betrekking op abnormale netwerkactiviteit op de Microsoft Exchange-servers van klanten, waaronder de ProxyLogon-exploit. Als gevolg hiervan ontdekten onderzoekers van het Microsoft Threat Intelligence Center twee extra kwetsbaarheden in Exchange Server die door aanvallers werden uitgebuit: CVE-2021-26857, een onveilige 'deserialisatie'-kwetsbaarheid in de unified messaging-service van de software; en CVE-2021-26858, een tweede kwetsbaarheid voor het schrijven van willekeurige bestanden na authenticatie.
Microsoft heeft aangekondigd dat deze kwetsbaarheden in Exchange Server op 9 maart zullen worden gepatcht met regelmatige updates.Patch dinsdagvan het bedrijf. Het bedrijf heeft de patches en openbaarmaking echter naar 2 maart verplaatst. Volgens verschillende rapporten is in de nasleep van de onthulling de exploitatie van de gebreken aanzienlijk toegenomen.
De aanvallers
Microsoft schreef de aanvankelijke ProxyLogon-aanvallen toe aan de door de Chinese staat gesponsorde dreigingsgroep, bekend als Hafnium. Volgens de blogpost van Microsoft hebben Hafnium-operators de kwetsbaarheden uitgebuit om initiële toegang te krijgen en vervolgens webshells op de getroffen server te implementeren. "Webshellskunnen aanvallers mogelijk gegevens stelen en kwaadaardige acties uitvoerenDat kan nog meer compromitteren”, aldus de blogpost.
In een update zei Microsoft dat het "een toenemend gebruik van kwetsbaarheden blijft zien bij aanvallen gericht op niet-gepatchte systemen door meerdere kwaadwillende actoren buiten HAFNIUM." Het is onduidelijk wie de extra dreigingsactoren zijn en wat hun motivaties kunnen zijn. Echter, bedreigingsdetectieleverancier Red Canarygemelde exploitatieactiviteitenwaarbij een cryptominingprogramma werd geïnstalleerd genaamd Dltminer.
Volexity heeft een update gegeven vooreen blogpostvan 2 maart, waar de eerste aanslagen in januari van dit jaar plaatsvonden. De update onthulde een tijdlijn die zelfs eerder was dan aanvankelijk werd gerapporteerd.
“Sinds de oorspronkelijke publicatie van deze blog heeft Volexity niet waargenomen dat cyberspionageoperaties met behulp van de SSRF-kwetsbaarheid CVE-2021-26855 op 3 januari 2021 begonnen, drie dagen eerder dan aanvankelijk gepubliceerd”, aldus de verklaring.
De slachtoffers
Verschillende media meldden dat Exchange Server-aanvallen alleen al in de VS tussen de 20.000 en 30.000 organisaties hebben getroffen, maar verschillende informatiebeveiligingsexperts, waaronder voormalig CISA-directeur Christopher Krebs, geloven dat het aantal veel ouder is. In de tussentijd,CISA schreefdat hij zich bewust was van de "wijdverbreide binnenlandse en internationale exploitatie" van kwetsbaarheden.
Hoewel het aantal potentiële slachtoffers naar verluidt sinds vorige week is toegenomen, is dat niet het geval met de lijst met bekendmakingen van datalekken. Tot nu toe lijkt de Europese Bankautoriteit het enige bedrijf te zijn dat dit doetheeft een overtreding bevestigd. In een verklaring op zondag gaf het de schuld aan een cyberaanval op zijn Microsoft Exchange-servers.
"De Europese Bankautoriteit (EBA) is het onderwerp geweest van een cyberaanval op haar Microsoft Exchange-servers, die veel organisaties over de hele wereld treft. Het Agentschap is snel een volledig onderzoek gestart, in nauwe samenwerking met zijn ICT-leverancier, een team van forensische experts en andere relevante entiteiten”, aldus de verklaring.
Ineen updateDe EBA zei dat ze niet geloven dat er gegevens zijn verzameld en dat er geen aanwijzingen zijn dat de inbreuk verder ging dan de e-mailservers. De bank heeft echter uit voorzorg de e-mailsystemen afgesloten.
Het blijkt dat die voorzorgsmaatregelen succesvol waren. Ineen derde update, zei de EBA dat de e-maildiensten waren hersteld.
“De Europese Bankautoriteit heeft vastgesteld dat de omvang van de gebeurtenis, veroorzaakt door de recentelijk breed uitgemeten kwetsbaarheden, beperkt was en dat de vertrouwelijkheid van de systemen en gegevens van de EBA niet in gevaar is gebracht. Dankzij de genomen voorzorgsmaatregelen is de EBA erin geslaagd om de bestaande dreiging en uw e-mailcommunicatiediensten zijn daarom hersteld."
Rapporten van cyberbeveiligingsbedrijven FireEye en Huntress Labs zeggen dat het scala aan slachtoffers breed is.
“We zijn ook getuige geweest van veel slachtoffers van stads- en provinciale overheden, gezondheidszorgaanbieders, banken/financiële instellingen en verschillende residentiële elektriciteitsleveranciers”, zegt het rapport.de blogpost.
Daarnaast houdt Huntress het aantal niet-gepatchte systemen op Exchange-servers bij. Vanaf vrijdag waren er ongeveer 800 nog steeds niet gepatcht en "unpatched voor een bijgewerkt CU-versienummer."
Volgenseen FireEye Mandiant-blogSlachtoffers zijn onder meer in de VS gevestigde detailhandelaren, lokale overheden, een universiteit en een ingenieursbureau. "Gerelateerde activiteiten kunnen ook een Zuidoost-Aziatische regering en Centraal-Aziatische telecommunicatie omvatten", aldus de blogpost.
Doe meer onderzoek naar beleid en bewustzijn
- Meer dan 137 terabytes aan gegevens blootgesteld in Latijns-Amerika in 2022Door: TechTarget-bijdrager
- Sophos: Verhoogt de verblijftijd op geïnfecteerde systemenDoor: MelisaOsores
- Microsoft heeft maanden nodig om kritieke bug in Azure Sypnapse op te lossenDoor: AlexanderCulafi
- Wat is de toekomst voor Microsoft 365 op het gebied van cyberbeveiligingsproblemen
