Microsoft Exchange heeft nog steeds uw aandacht nodig

Het laatste woord is nog niet gezegd over de recente Microsoft Exchange kwetsbaarheden en Hafnium, een aan de Chinese staat verbonden groep hackers die zich vooral opereert met als doel spionage. Naar blijkt kunnen we de situatie helaas nog niet zonder meer achter ons laten.  

Wat gebeurde er?

Hackers kregen toegang tot een exchange omgeving via een kwetsbaarheid in Microsoft Exchange en zetten persistence op. Hierna verkregen ze de benodigde credentials, konden ze de systeemgegevens decrypten en data verzamelen. In de basis werden hiervoor 4 kwetsbaarheden gebruikt (CVE-2021-26855CVE-2021-26857CVE-2021-26858 en CVE-2021-27065). De eerste kwetsbaarheid zorgt voor geverifieerde toegang tot de Exchange server. De andere drie maakten het mogelijk deze toegang te gebruiken voor het schrijven van bestanden naar en op de server en het uitvoeren van code.  

Deze CVE’s werden bijna een maand geleden bekend gemaakt en ook de patches vanuit Microsoft zijn al een aantal weken beschikbaar. Toch zijn nog steeds niet alle bedrijven er in geslaagd hun Exchange server te patchenHelaas is het dus heel goed mogelijk dat uw eigen organisatie zonder het zelf door te hebben, slachtoffer is geworden van een ‘sneaky’ indringer. Achteraf verrichtte patches zullen zoals begrijpelijk niets meer doen tegen een aanvaller die mogelijk al is binnen gedrongen. Als u zeker wilt zijn dat u veilig bent, dan zal er actief gezocht moeten worden naar een eventuele breach, zodat hier de benodigde actie op ondernomen kan worden.  

Waarom doet dit ertoe?

Een kritisch gegeven is dat eerdere persistence en verkregen credentials ook gebruikt kunnen worden voor een tweede fase, ook wel ‘secundaire breach’ genoemd. Door deze kwetsbaarheden is het nu mogelijk lateraal in de infrastructuur te bewegen, waardoor gevoelige data bereikt kan worden. Het grote gevaar in dit geval is dat deze gevoelige data of wel verspreid ofwel encrypted wordt om dit vervolgens te gebruiken om organisaties af te persen.  

Uit deze situatie leren we dat het patchen van de servers tot de standaard prioriteiten zou moeten horen. Maar we zien ook dat een aanval niet standaard bij elke onderneming opgemerkt wordt, waardoor er enorme schade zou kunnen ontstaan.

Wilt u meer inzicht in uw bedreigingslandschap?

Neem contact op via info@kahuna.eu of bel direct +31 (0)33 4500 370 en wij informeren u graag over de mogelijkheden van het detecteren en mitigeren van recente en nieuwe aanvallen.