Het 'Cybersecurity and Infrastructure Security Agency' (CISA) van het Amerikaanse ministerie van 'Homeland Security' heeft noodinstructies afgegeven voor meerdere kritieke kwetsbaarheden in Microsoft Exchange. Federale overheidsinstanties in de VS moeten de instructies voor morgenmiddag hebben uitgevoerd.
Nood patches
Microsoft kwam dinsdag met nood patches voor vier beveiligingslekken in Exchange Server 2013, 2016 en 2019 die zijn aangevallen voordat de beveiligingsupdates beschikbaar waren. Via de kwetsbaarheden kregen aanvallers toegang tot Exchange-servers en aanwezige e-mailaccounts en konden aanvullende malware installeren om langere tijd toegang tot de omgeving van slachtoffers te behouden.
Vier kwetsbaarheden
Volgens Microsoft zijn de vier kwetsbaarheden in Exchange Server 2013, 2016 en 2019 op beperkte schaal bij gerichte aanvallen ingezet.
Van die vier lekken is CVE-2021-26855 het gevaarlijkst. Het betreft een 'server-side request forgery' (SSRF) kwetsbaarheid in Exchange waardoor een aanvaller willekeurige http-requests kan versturen en zich als de Exchange-server kan authenticeren. Op een schaal van 1 tot en met 10 wat betreft de ernst is deze kwetsbaarheid met een 9,1 beoordeeld. Om hoeveel en wat voor slachtoffers het precies gaat laat Microsoft niet weten.
De cyberaanval
- Untrusted connection
De waargenomen aanvallen beginnen met het maken van een 'untrusted connection' naar een Exchange-server op poort 443.
Dit kan worden voorkomen door dergelijke verbindingen te verbieden of door de Exchange-server alleen via een VPN vanaf het internet toegankelijk te maken, aldus Microsoft. Deze maatregel beschermt tegen het eerste deel van de aanval. De overige kwetsbaarheden kunnen worden misbruikt wanneer een aanvaller al toegang tot de server heeft of een beheerder zover weet te krijgen om een kwaadaardig bestand te openen.
- Webshells
Nadat de aanvallers via de zeroday lekken toegang tot de Exchange-server kregen installeerden ze webshells.
Via de webshell kan een aanvaller de server op afstand benaderen en allerlei code en commando's uitvoeren. Vaak worden webshells voor verdere aanvallen ingezet. Ook in dit geval gebruiken de aanvallers de webshells om data te stelen en aanvullende aanvallen uit te voeren om zo de omgeving van het slachtoffer verder te compromitteren.
Hafnium hackers
De aanvallen zijn volgens Microsoft uitgevoerd door een groep genaamd 'Hafnium' die vanuit China opereert. De groep zou het voornamelijk hebben voorzien op entiteiten in de Verenigde Staten, waaronder onderzoekers van infectieziektes, advocatenkantoren, onderwijsinstellingen, defensiebedrijven, politieke denktanks en ngo's.
Organisaties worden opgeroepen om de beschikbare beveiligingsupdates te installeren. In dit artikel geeft Microsoft verschillende Indicators of Compromise (IOC's) waarmee organisaties kunnen kijken of ze zijn gecompromitteerd.
Opgedragen actie CISA
Het CISA heeft nu een 'emergency directive' afgegeven waarin federale Amerikaanse overheidsinstanties worden opgedragen verschillende maatregelen uit te voeren.
Alle federale instanties moeten hun Exchange-servers op sporen van eventuele aanvallers controleren. Beschikt de instantie in kwestie niet over de vereiste expertise, dan moeten alle Exchange-server meteen worden losgekoppeld. Pas na toestemming van het CISA mogen deze organisaties hun Exchange-server opnieuw opbouwen en aansluiten.
Instanties die wel over de expertise voor forensisch onderzoek beschikken én sporen van aanvallers aantreffen moeten bovenstaande instructies ook volgen. Totdat deze instanties groen licht van het CISA hebben gekregen mag er geen gebruik van Exchange worden gemaakt. Tevens moet er in het geval van een ontdekte aanval meteen melding bij de cybersecurity dienst van 'Homeland Security' worden gemaakt. Wanneer onderzoekers geen sporen van aanvallers aantreffen moeten de betreffende servers direct worden geüpdatet mocht dat nog niet zijn gedaan.
Hacking gerelateerde berichten
Apple: “Installeer per direct de beveiligingsupdate”
Software- en elektronicagigant Apple roept gebruikers van iPhones, MacBooks, iPads en horloges op om zo spoedig mogelijk een beveiligingsupdate te installeren. Dat heeft alles te maken met een ernstig beveiligingslek in de iMessage-app: het was mogelijk om zonder enige interactie van de gebruiker de zogenaamde Pegasus-spyware te installeren. Daarmee kunnen foto's en e-mails worden gestolen, maar ook de microfoon en camera kunnen op afstand worden ingeschakeld.
Hoe hackers al uw sms-berichten kunnen zien en 2FA-beveiliging kunnen omzeilen
Voor een veilige toegang tot online diensten van vandaag is het niet voldoende om alleen een login en een sterk wachtwoord te gebruiken. Een recent onderzoek heeft uitgewezen dat meer dan 80% van alle hack aanvallen te wijten zijn aan zwakke wachtwoorden. Daarom is het gebruik van tweefactorauthenticatie (2FA) een noodzaak geworden. Het biedt een extra beveiligingslaag. Volgens de gegevens blokkeren gebruikers die 2FA inschakelen ongeveer 99,9% van de geautomatiseerde aanvallen.
"Criminelen spelen handig in op de behoefte om overal maar online te zijn"
Inloggen op een website, terwijl je verbinding maakt met een openbare wifi-verbinding. De meeste Nederlanders kennen de risico’s, toch past het merendeel z’n surfgedrag niet aan. Vooral jongeren zijn laks. Dat blijkt uit onderzoek van VPN.nl onder 1.075 Nederlanders, uitgevoerd door Panelwizard. Alleen in Nederland zijn er al zo’n 2 miljoen gratis wifi-hotspots, bijvoorbeeld bij treinstations, luchthavens, hotels, campings en horecagelegenheden.
Auteursrecht van Instagram en communityrichtlijnen geschonden!
Cybercriminelen doen er alles aan om waardevolle accountgegevens te bemachtigen. Met nepberichten over het schenden van auteursrecht willen ze nu ook gebruikers van Instagram misleiden. Hoe herken je deze vorm van phishing en wat kun je doen als je ermee te maken krijgt?
Energietransite biedt kansen voor hackers
De overgang naar een duurzame energievoorziening maakt het Nederlandse stroomnet kwetsbaarder voor hackers. Als zij zonnepanelen en laadpalen hacken, kan dat grote maatschappelijke en economische gevolgen hebben. Extra toezicht moet problemen voorkomen.
Pas op met "updaten van Kaseya"
Hackers proberen munt te slaan uit de crisis rondom de VSA-software van ICT-dienstverlener Kaseya. Ze hebben een spamcampagne opgezet waarbij ze potentiële slachtoffers proberen over te halen om een beveiligingsupdate te installeren die de kwetsbaarheid in VSA verhelpt. In werkelijkheid halen nietsvermoedende slachtoffers een Cobalt Strike payload binnen die een achterdeur toevoegt aan het bedrijfsnetwerk. Op deze manier proberen ze het netwerk binnen te glippen en malware te installeren.