Noodpatches Microsoft voor aanvallen via 4 zero-days

Microsoft heeft meerdere 0-day exploits ontdekt die worden gebruikt in aanvallen op on-premises installaties van Exchange Server. Het gaat om een beperkt aantal gerichte aanvallen, meldt de softwaremaker. De voorheen onbekende - en dus ongepatchte - kwetsbaarheden zitten in de versies 2019, 2016, 2013 en 2010 van de Exchange-serversoftware. Laatstgenoemde valt officieel buiten de support, die nog is opgerekt van januari naar oktober vorig jaar.

Mail én toegang tot netwerken

De oude Exchange-versie, waar eind 2019 veel bedrijven nog op zaten, wordt nu door Microsoft ook voorzien van een update. Dit in het kader van zogeheten 'Defense in Depth'-doeleinden van de softwareleverancier. De clouduitvoering van Exchange, die valt onder het 365-abonnementsaanbod van Microsoft, wordt niet geraakt door de nu geopenbaarde zero-days (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, en CVE-2021-27065).

De aanvallen die in de praktijk worden uitgevoerd via deze 4 zero-days zijn gericht op zowel mail als ook op toegang tot de netwerken van organisaties. In de waargenomen hacks verkrijgen de aanvallers toegang tot mailaccounts, en kunnen ze ook aanvullende malware installeren voor langetermijntoegang tot de IT-omgevingen van hun slachtoffers.

Medische labs, advocaten, onderwijs, defensie

Het Threat Intelligence Center van Microsoft meent dat de hackersgroep HAFNIUM achter deze doelgerichte aanvallen zit. Die groep werkt vanuit China en is volgens Microsofts security-experts gelieerd aan een statelijke actor, wat dan dus de Chinese overheid zou zijn. De voornaamste doelwitten van HAFNIUM zijn organisaties in de Verenigde Staten, in een reeks aan bedrijfssectoren. Deze omvatten medische onderzoekers naar besmettelijke ziektes, advocatenfirma's, instellingen voor hoger onderwijs, defensietoeleveranciers, think tanks voor overheidsbeleid en non-gouvernementele organisaties (NGO's).

Microsoft deelt in zijn uitgebreide blogpost over deze aanvalscampagne een reeks aan 'herkenningspunten' voor Exchange-beheerders om te controleren of zij zijn aangevallen. Deze zogeheten indicators of compromise (IOC's) omvatten aangemaakte mappen op Windows-servers die Exchange draaien, lege accounts voor AuthenticatedUsers, gedownloade bestanden in non-Temp-mappen van Exchange, en de aanwezigheid van scripts in bepaalde locaties.

NSA: patch nu

Aanvallers hebben geen kennis nodig van de IT-omgeving of Exchange-opstelling van hun doelwitten. Het weten dat een server Exchange draait, en het kennen van het gewenste mailaccount volstaat om binnen te dringen via de combinatie van de 4 nu geopenbaarde zero-days. Volgens ontdekker Volexity lopen deze aanvallen al sinds zeker 6 januari dit jaar.

Ook de Amerikaanse inlichtingendienst NSA waarschuwt dat Exchange-gebruikers onmiddellijk actie moeten ondernemen. De door Microsoft uitgebrachte patches moeten met spoed worden toegepast, aldus de dienst die zelf ook bekend staat om zijn hackvermogen.