Zero-day kwetsbaarheden in Microsoft Exchange Server
Een ernstige aanval waarbij gebruik werd gemaakt van vier zero-day-kwetsbaarheden in lokale versies van Exchange Server van Microsoft, werd uitgevoerd door naar men aanneemt een door de staat gesponsorde actor. Microsoft was al begonnen met het monitoren van de activiteiten van dit hackercollectief onder de noemer HAFNIUM. Volgens hun bevindingen bevindt de groep zich in China en wordt ze gesteund door de Chinese regering.
Door de exploits konden de hackers illegaal toegang krijgen tot de Exchange Server en een webshell creëren waarmee ze op afstand controle over het systeem konden krijgen. Het belangrijkste doel van de aanval was toegang te krijgen tot gevoelige gegevens in de e-mailaccounts van het slachtoffer en het offlineadresboek van Exchange. De webshell stond echter ook toe dat extra malware-payloads werden verwijderd. Bij de HAFNIUM-aanval werd die functionaliteit gebruikt om langdurige toegang tot de systemen van het slachtoffer te garanderen.
Nadat informatie over de aanval openbaar werd gemaakt, detecteerde Microsoft meerdere aanvullende bedreigingsactoren die de zero-day-kwetsbaarheden in hun operaties incorporeerden. In slechts 9 dagen tijd werd een nieuwe ransomwarebedreiging waargenomen die door de vier zwakke punten in de beveiliging werd verspreid. De dreiging kreeg de naam DearCry, een duidelijk eerbetoon aan de beruchte WannaCry-malware die gebruikers over de hele wereld infecteerde met een aanval waarbij een andere reeks Microsoft-kwetsbaarheden werd misbruikt.
Vier Zero-Day Exploits maakten de aanval mogelijk
De zero-days die door HAFNIUM en de andere bedreigingsactoren worden uitgebuit, worden gevolgd als CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 en CVE-2021-27065.
De eerste, CVE-2021-26855, is een kwetsbaarheid voor server-side request forgery (SSRF) waarmee aanvallers willekeurige HTTP-verzoeken kunnen verzenden en zich kunnen verifiëren als de Exchange-server.
CVE-2021-26857 is een onveilige kwetsbaarheid voor deserialisering in de Unified Messaging-service. Kortom, deze exploit stelde aanvallers in staat om code uit te voeren als SYSTEEM op de Exchange-server.
De laatste twee exploits - CVE-2021-26858 en CVE-2021-27065, beide bestaan uit een kwetsbaarheid voor het schrijven van willekeurige bestanden na authenticatie.
Microsoft heeft beveiligingspatches en tool uitgebracht om de aanval te verzachten
In de nasleep van de inbreuk en vanwege de ernst ervan heeft Microsoft verschillende beveiligingsupdates uitgebracht om de kwetsbaarheden in oudere versies van hun Exchange Server te verhelpen. De techgigant bracht ook een beveiligingsblog uit met waargenomen IoC (Indicators of Compromise), detectiebegeleiding en geavanceerde jachtquery's, zodat klanten een beter idee hebben van waar ze kunnen controleren op tekenen van mogelijk kwaadaardige activiteit.
Om kleinere klanten te helpen die geen speciale cyberbeveiligings- of IT-afdelingen hebben, heeft Microsoft ook een mitigatietool met één klik uitgebracht. De Microsoft Exchange On-Premises Mitigation Tool is bedoeld om te worden gebruikt als tijdelijke beveiligingsmaatregel op Exchange Server 2013, 2016 en 2019 implementaties terwijl de klant zich voorbereidt om de juiste beveiligingsupdate te installeren.
