Microsoft heeft onlangs vier zero-day-kwetsbaarheden in zijn Exchange-e-mailserver aangepakt. De impact van de gebreken is behoorlijk alarmerend, aangezien het Exchange-platform een van de meest populaire is in bedrijfsinfrastructuur.
Bovendien, Microsoft gelooft dat de gebreken actief werden uitgebuit door een in China gevestigde bedreigingsgroep die bekend staat als Hafnium. De hackgroep is op zoek naar blijvende toegang tot e-mailsystemen, Microsoft zegt. Ondanks dat werden de aanslagen omschreven als beperkt en gericht, ook andere dreigingsgroepen maken gebruik van de zero-days. Indicaties van aanvallen dateren uit het begin van 2021.
Hafnium-hackers richten zich op verschillende instellingen
Het is vermeldenswaard dat dit de eerste keer is dat Microsoft Hafnium-hackers in het openbaar noemt. Deze hackers hebben zich gericht op verschillende instellingen en experts, inclusief advocatenkantoren, onderwijsfaciliteiten, NGO's, ziekte onderzoekers.
historisch gezien, Hafnium richt zich voornamelijk op entiteiten in de Verenigde Staten met als doel informatie uit een aantal bedrijfstakken te exfiltreren, inclusief onderzoekers op het gebied van infectieziekten, advocatenkantoren, instellingen voor hoger onderwijs, defensie-aannemers, beleidsdenktanks en ngo's. Terwijl Hafnium in China is gevestigd, het voert zijn activiteiten voornamelijk uit vanaf gehuurde virtuele privéservers (VPS) in de Verenigde Staten, zegt Tom Burt, Corporate Vice President voor Customer Security & Vertrouw op Microsoft.
Microsoft heeft snel gewerkt om de Hafnium-exploits te patchen. Echter, Van andere behandelaars van natiestaten en hackers wordt verwacht dat ze profiteren van niet-gepatchte systemen. Door de patches zo snel mogelijk toe te passen, wordt het risico van een compromis met betrekking tot de Exchange zero-days tot een minimum beperkt.
Meer over de vier nul-dagen van Exchange-mailserver
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, en CVE-2021-27065
De beveiligingslekken met betrekking tot Microsoft Exchange Server zijn CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, en CVE-2021-27065. Gelukkig, Exchange Online wordt niet beïnvloed. Betreffende versies zijn onder meer Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, en Microsoft Exchange Server 2019.
De gebreken worden gebruikt als onderdeel van een aanvalsketen, Microsoft waarschuwt. Om succesvol te worden geïnitieerd, een aanval vereist een niet-vertrouwde verbinding met een specifieke Exchange-serverpoort, 443. Deze maas in de wet kan worden beschermd door niet-vertrouwde verbindingen te beperken, of door een VPN in te stellen om de server te scheiden van externe toegang. Echter, deze beperkende trucs bieden slechts gedeeltelijke bescherming. Het bedrijf waarschuwt dat andere delen van de kettingaanval kunnen worden geactiveerd als een aanvaller al toegang heeft of een beheerder kan overtuigen om een schadelijk bestand uit te voeren.
Het is merkwaardig om dat afgelopen maart te vermelden, door de staat gesponsorde hackgroepen maakten gebruik van CVE-2020-0688, een andere kwetsbaarheid in e-mailservers van Microsoft Exchange. Dan, in mei, de Exchange-server werd aangevallen door de zogenaamde Valar Trojan. De malware-aanval was vooral gericht op slachtoffers in Duitsland en de VS.. Het werd beoordeeld als een geavanceerde dreiging die op een meerfasige manier aan de kwetsbare systemen werd geleverd.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: