Zeroday exploits in Microsoft Exchange Server worden actief misbruikt in Nederland

Gepubliceerd op 5 maart 2021 om 17:02

Het 'Nationaal Cyber Security Centrum' (NCSC) adviseert om zo snel mogelijk de vrijgegeven patch te installeren. Tevens raadt het adviesorgaan aan om de Exchange-omgeving te controleren om uit te sluiten dat er misbruik heeft plaatsgevonden.

Zeroday kwetsbaarheden

Eerder deze week dichtte Microsoft vier zogeheten zeroday-kwetsbaarheden in Exchange Server, een programma dat door bedrijven gebruikt wordt om e-mails mee te ontvangen en versturen. Een zeroday is een kwetsbaarheid in de software die sinds dag één bestaat, maar waar de fabrikant en het publiek niets van afweten. Hackers en cybercriminelen zijn hier dol op, omdat het hen in staat stelt om onopgemerkt computersystemen en servers te infiltreren, malware te installeren of andere kwade fratsen uit te halen.

Op haar beveiligingsblog schreef Microsoft dat kwaadwillenden door de zeroday exploits toegang konden krijgen tot Exchange-servers. Als ze eenmaal toegang hadden tot de e-mailaccounts van de medewerkers, konden ze ransomware en andere vormen van malware installeren. De exploits bestaan in Exchange Server die op versie 2013, 2016 en 2019 draaien. Microsoft rolde dinsdag een patch uit voor om de beveiligingslekken te dichten. Het Amerikaanse hard- en softwarebedrijf raadde gebruikers aan om deze zo snel mogelijk te installeren.

Ontdekking door Volexity

Twee van de vier beveiligingslekken kwamen aan het licht dankzij Volexity. Het beveiligingsbedrijf ontdekte in januari dat er grote hoeveelheden data naar verdachte IP-adressen werden verstuurd. Aanvankelijk dachten securityexperts dat hackers gebruik maakten van een achterdeurtje, maar dat bleek niet het geval. In plaats daarvan stelden ze vast dat er meerdere zerodays waren. Eén van de kwetsbaarheden was zo ernstig dat er geen authenticatie nodig was.

Staatshackers Hafnium

Het Microsoft Threat Intelligence Center (MSTIC) zegt dat het ‘vrij zeker’ is dat de zerodays actief zijn misbruikt door HAFNIUM, een groep Chinese staatshackers die buiten China opereren. Dat zou blijken uit de tactieken, procedures en de slachtoffers die ze kozen. Onder meer advocatenkantoren, onderwijsinstellingen, politieke denktanks en non-profitorganisaties zijn geliefde doelwitten van de Chinese hackers. Als ze eenmaal het netwerk zijn binnengedrongen, stelen ze gevoelige data en delen deze op websites als MEGA van Kim Dotcom. HAFNIUM werkt voornamelijk van gehuurde virtual private servers (VPS) in de VS, zo stelt Microsoft.

Uit onderzoek van het MSTIC blijkt dat de Chinese staatshackers in drie stappen te werk gaan. Allereerst dringen ze het netwerk van hun doelwit binnen, hetzij door gebruik te maken van de zeroday exploits, hetzij met behulp van gestolen wachtwoorden. Vervolgens konden ze web shells opzetten op de Exchange Server, waarmee ze op afstand de controle over de server konden overnemen. Tot slot stalen de aanvallers gevoelige data en installeerden ze malware.

Ook in Nederland

Tot nu toe was bekend dat de zeroday exploits in Microsoft Exchange Server actief werden misbruikt in de VS. Dat blijkt ook in ons land het geval te zijn, waarschuwt het Nationaal Cyber Security Centrum (NCSC). “Van een van onze partners hebben wij vernomen dat ook binnen Nederland actief misbruik wordt gemaakt van deze kwetsbaarheden”, schrijft het adviesorgaan in een persbericht. Om welke bedrijven of instellingen het gaat, houdt het NCSC in het midden.

Net als Microsoft adviseert het NCSC om zo snel mogelijk de patch te installeren die Microsoft beschikbaar heeft gesteld. Tevens adviseert de instantie organisaties om hun Exchange-omgeving te controleren om zo uit te sluiten of de beveiligingslekken zijn misbruikt. Systeembeheerders moeten daarbij letten op zogeheten Indicators of Compromise (IOC’s). Dat zijn aanwijzingen in de logbestanden die kunnen duiden op misbruik door hackers. Microsoft heeft PowerShell-scripts beschikbaar gesteld waarmee logbestanden automatisch kunnen worden gecontroleerd. “Houd er rekening mee dat aanwezigheid van deze IoC’s niet noodzakelijkerwijs betekent dat uw Exchange-omgeving is gecompromitteerd”, eindigt het NCSC zijn blog.

Kwetsbaarheden In Microsoft Exchange Server In Nederland Actief Misbruikt
PDF – 65,6 KB 294 downloads

Bron: microsoft.com, ncsc.nl, vpngids.nl

Meer info over ‘Cybercrime’?

Tips of verdachte activiteiten gezien? Meld het hier of anoniem.

Cybercrime gerelateerde berichten

Recordhoogte aanvallen op thuiswerksystemen: serieuze bedreiging voor het MKB

Tussen januari 2020 en juni 2021 waren er wereldwijd meer dan 71 miljard aanvallen gericht op RDP-(remote desktop protocol) systemen. Dat blijkt uit het nieuwste ESET-onderzoek ‘RANSOMWARE: A look at the criminal art of malicious code, pressure, and manipulation’. De meeste detecties per dag werden gezien in de eerste helft van 2021. Omdat RDP-aanvallen plaatsvinden door middel van een ‘normale’ inlogpoging worden veel aanvallen niet gedetecteerd. Dit maakt het aannemelijk dat het daadwerkelijke probleem nog veel groter is. Dave Maasland, CEO van ESET Nederland, noemt de dreiging serieus en meent dat actie ondernemen de enige weg vooruit is.

Lees meer »

"Een burn-out is een groot probleem binnen incidentrespons-teams"

VMware heeft tijdens Black Hat USA 2021 zijn zevende, jaarlijkse Global Incident Response Threat Report gepresenteerd. Dit rapport analyseert hoe aanvallers de realiteit manipuleren en zo het moderne dreigingslandschap veranderen. Het rapport constateerde een drastische toename van destructieve aanvallen, waarbij aanvallers geavanceerde technieken gebruiken om meer gerichte, geavanceerde aanvallen uit te voeren die de digitale realiteit vervormen – via business communications compromise (BCC) of door manipulatie van tijd.

Lees meer »

Vier keer zoveel supplychainaanvallen verwacht als in 2020

De European Union Agency For Cybersecurity (ENISA) waarschuwt voor fors meer zogeheten supplychainaanvallen in 2021. Dit type aanval raakt via één grote softwareleverancier alle aangesloten bedrijven, wat grote impact kan hebben. ENISA voorziet dat de hacks geavanceerder worden en geeft tips om dit type aanval tegen te gaan.

Lees meer »

Stelling: Het gebruik van wachtwoorden is een verouderde beveiligingstechniek die zijn langste tijd heeft gehad

Iedere seconde vinden er ergens ter wereld wel nieuwe pogingen plaats van cybercriminelen om websites, diensten, bedrijven of consumenten te hacken. Niet geheel onverwachts is er dus ook een toenemende kans op gelekte wachtwoorden, waardoor cybercriminelen eenvoudig toegang tot bedrijfsgegevens krijgen, aldus Beyond Identity, een leverancier van wachtwoordloze oplossingen voor identiteitsbeheer. Vorige maand meldde CyberNews dat er een bestand met de naam 'RockYou2021.txt' op een populair hackersforum is gezet. Daarbij gaat het om een verzameling van 8,4 miljard wereldwijd gelekte wachtwoorden. Ook in Nederland is het lekken van wachtwoorden schering en inslag.

Lees meer »