Overslaan en naar de inhoud gaan

Noodpatches Microsoft voor aanvallen via 4 zero-days

Microsoft heeft noodpatches uitgebracht voor vier versies van zijn mail- en agendasoftware Exchange, waaronder het oude Exchange Server 2010. Deze kritieke updates zijn tegen kwetsbaarheden die actief door aanvallers worden benut. Zij kunnen op afstand en zónder authenticatie misbruik maken van de bugs, waarmee mailboxen gericht zijn uit te lezen.
Microsoft Exchange
© Microsoft
Microsoft

Microsoft heeft meerdere 0-day exploits ontdekt die worden gebruikt in aanvallen op on-premises installaties van Exchange Server. Het gaat om een beperkt aantal gerichte aanvallen, meldt de softwaremaker. De voorheen onbekende - en dus ongepatchte - kwetsbaarheden zitten in de versies 2019, 2016, 2013 en 2010 van de Exchange-serversoftware. Laatstgenoemde valt officieel buiten de support, die nog is opgerekt van januari naar oktober vorig jaar.

Mail én toegang tot netwerken

De oude Exchange-versie, waar eind 2019 veel bedrijven nog op zaten, wordt nu door Microsoft ook voorzien van een update. Dit in het kader van zogeheten 'Defense in Depth'-doeleinden van de softwareleverancier. De clouduitvoering van Exchange, die valt onder het 365-abonnementsaanbod van Microsoft, wordt niet geraakt door de nu geopenbaarde zero-days (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, en CVE-2021-27065).

De aanvallen die in de praktijk worden uitgevoerd via deze 4 zero-days zijn gericht op zowel mail als ook op toegang tot de netwerken van organisaties. In de waargenomen hacks verkrijgen de aanvallers toegang tot mailaccounts, en kunnen ze ook aanvullende malware installeren voor langetermijntoegang tot de IT-omgevingen van hun slachtoffers.

Medische labs, advocaten, onderwijs, defensie

Het Threat Intelligence Center van Microsoft meent dat de hackersgroep HAFNIUM achter deze doelgerichte aanvallen zit. Die groep werkt vanuit China en is volgens Microsofts security-experts gelieerd aan een statelijke actor, wat dan dus de Chinese overheid zou zijn. De voornaamste doelwitten van HAFNIUM zijn organisaties in de Verenigde Staten, in een reeks aan bedrijfssectoren. Deze omvatten medische onderzoekers naar besmettelijke ziektes, advocatenfirma's, instellingen voor hoger onderwijs, defensietoeleveranciers, think tanks voor overheidsbeleid en non-gouvernementele organisaties (NGO's).

Microsoft deelt in zijn uitgebreide blogpost over deze aanvalscampagne een reeks aan 'herkenningspunten' voor Exchange-beheerders om te controleren of zij zijn aangevallen. Deze zogeheten indicators of compromise (IOC's) omvatten aangemaakte mappen op Windows-servers die Exchange draaien, lege accounts voor AuthenticatedUsers, gedownloade bestanden in non-Temp-mappen van Exchange, en de aanwezigheid van scripts in bepaalde locaties.

NSA: patch nu

Aanvallers hebben geen kennis nodig van de IT-omgeving of Exchange-opstelling van hun doelwitten. Het weten dat een server Exchange draait, en het kennen van het gewenste mailaccount volstaat om binnen te dringen via de combinatie van de 4 nu geopenbaarde zero-days. Volgens ontdekker Volexity lopen deze aanvallen al sinds zeker 6 januari dit jaar.

Ook de Amerikaanse inlichtingendienst NSA waarschuwt dat Exchange-gebruikers onmiddellijk actie moeten ondernemen. De door Microsoft uitgebrachte patches moeten met spoed worden toegepast, aldus de dienst die zelf ook bekend staat om zijn hackvermogen.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in