Op 2 maart 2021 heeft Microsoft patches vrijgegeven tegen vier zero-day kwetsbaarheden op Exchange Server welke op dit moment actief worden misbruikt door staatshackers met de naam Hafnium. De aanval bestaat uit verschillende fases waaronder het verkrijgen van toegang tot de Exchange Server via gestolen wachtwoorden of nog niet ontdekte kwetsbaarheden. Vervolgens wordt er een webshell uitgevoerd om controle te krijgen over de server op afstand. De laatste fase van de aanval is het verzamelen van informatie door de mailboxen te exporteren naar file shares zoals MEGA.
Kwetsbaarheden
De volgende zero-day kwetsbaarheden zijn ontdekt:
- CVE-2021-26855: A Server-side request forgery (SSRF) vulnerability in Exchange Server
- CVE-2021-26857: An insecure deserialization vulnerability in the Unified Messaging service
- CVE-2021-26858: A post-authentication arbitrary file write vulnerability in Exchange
- CVE-2021-27065: A post-authentication arbitrary file write vulnerability in Exchange
Hoewel de kwetsbaarheden actief worden misbruikt op Microsoft Exchange Server 2013, 2016 en 2019, heeft Microsoft ook updates uitgebracht voor Exchange Server 2010.
Kwetsbare software versies
- Exchange Server 2010 Service Pack 3
- Exchange Server 2013 Cumulative Update 23
- Exchange Server 2016 Cumulative Update 18
- Exchange Server 2016 Cumulative Update 19
- Exchange Server 2019 Cumulative Update 7
- Exchange Server 2019 Cumulative Update 8
Advies
Microsoft heeft security updates beschikbaar gesteld waarmee de zero-day kwetsbaarheden worden verholpen en we raden aan om deze zo snel mogelijk te installeren.
- Via deze link vindt u meer informatie en kunt u de update downloaden voor Microsoft Exchange Server 2010 Service Pack 3
- Via deze link vindt u meer informatie en kunt u de update downloaden voor Microsoft Exchange Server 2019, 2016 en 2013.
Indicators of compromise (IOCs) zijn toegevoegd aan de security monitoring van het PQR SOC, waarmee aanvallen direct worden gedetecteerd bij klanten die zijn aangesloten bij het PQR SOC.
Verdere vragen naar aanleiding van dit bericht? Neem contact met ons op.