www.belgium.be Logo of the federal government

Afgelopen week waarschuwden wij Belgische bedrijven die gebruik maken van Microsoft Exchange Servers voor een systeemkwetsbaarheid. Wij weten sinds dit weekend dat in België meer dan 1000 Microsoft Exchange servers kwetsbaar zijn en krijgen steeds meer meldingen van cyberincidenten bij organisaties en bedrijven die gebruik maken van deze mailserver.  Het is duidelijk dat deze kwetsbaarheid actief wordt uitgebuit op verschillende manieren en door meerdere criminele organisaties.  We staan de komende weken mogelijks voor een tsunami aan cyberaanvallen op organisaties die kwetsbaar zijn.

Op 3 maart publiceerden wij een advies met de te nemen acties. Op 16 maart werd dit advies geactualiseerd. 

Het is belangrijk om een onderscheid te maken tussen de “on-premises”, “hybride” en “online” opstellingen van Microsoft Exchange.

  • On-premises software wil zeggen dat je software in je bedrijf zelf geïnstalleerd is, op de computers en servers van het bedrijf.
  • Hybride wil zeggen dat je software zowel in je bedrijf geïnstalleerd is, als online (in de cloud).
  • Een online opstelling betekent dat je software enkel online (in de cloud) is geïnstalleerd.

Microsoft wil sterk benadrukken dat de Exchange Online dienst niet is getroffen.  Exchange Online klanten die een hybride setup hebben of een On-Premises Exchange server voor administratieve toepassingen in dienst hebben, moeten wel onmiddellijk actie nemen.

 

Wat is er aan de hand?

  1. Alles is begonnen met een “nation-state” aanval, onder de naam Hafnium. Daarbij werden Exchange kwetsbaarheden gevonden en misbruikt. Na de aanval konden hackers toegang krijgen tot de Exchange omgevingen van bedrijven en vervolgens toegang krijgen naar Administrator accounts en op die manier de omgeving verder infiltreren. Om de kwetsbaarheden te verhelpen heeft Microsoft een aantal updates vrijgegeven op 2 maart 2021. (zie ook link onderaan) Microsoft heeft ook een update vrijgegeven voor Exchange 2010, een versie die niet meer ondersteund wordt.
     
  2. Sommige malafide groepen installeren “web shells” bij bedrijven, waardoor ze vanop afstand toegang en controle hebben via een online server. Zo kunnen ze als het ware een communicatielijn openhouden met de bedrijven om later een aanval te plaatsen. Het is dus zeer belangrijk om dergelijke zaken zo snel mogelijk op te sporen. Voor bedrijven die de Microsoft Defender oplossing niet hebben,  heeft Microsoft een aparte tool gelanceerd die de web shells doeltreffend kan opsporen en  verwijderen. (zie ook link onderaan)
     
  3. In sommige gevallen zou het kunnen dat hackers naast de bewuste “web shells” andere malware hebben achtergelaten om op een latere termijn een aanval te plaatsen, bijvoorbeeld ransomware. Daarom is het belangrijk dat de omgeving op alle mogelijke verdachte situaties onderzocht wordt.

 

Wat moeten organisaties zo snel mogelijk doen?

  1. De systemen “patchen”, namelijk een klein stukje software installeren om de fouten op te lossen en/of updates uit te voeren;
     
  2. Alle mogelijke web shells verwijderen;
     
  3. Controleren wat met de web shell gebeurd is. Louter patchen en het verwijderen van de web shell volstaan niet. Doe dit aan de hand van:
    1. De Microsoft’s Test-ProxyLogon.ps1Test-ProxyLogon.ps1 script (https://github.com/microsoft/CSS-Exchange/tree/main/Security ) voor meer details (tijdstip, path, IP, …)
    2. Webserver logs, (reverse) proxy logs, firewall of IDS logs, AntiVirus logs, …
    3. De One-Click Microsoft Exchange On-Premises Mitigation Tool https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/
       
  4. Op onderzoek uitgaan naar dingen als verdachte gebruiker-logins in bestaande accounts, nieuwe accounts met verdacht veel rechten, verdacht uitgaand verkeer via http(s), automatische taken op Endpoints, nieuwe en verdachte ‘mail doorstuur’-regels (SMTP forwards), enz. Dat zijn typische activiteiten van hackers om dichter bij de kroonjuwelen van bedrijven te komen.

Belangrijke bronnen:

Advisory van CERT.be, de operationele dienst van het Centrum voor Cybersecurity België:

https://cert.be/nl/meerdere-kritieke-kwetsbaarheden-voor-microsoft-exchange

Overzicht van alle te volgen stappen door Microsoft:

 Multiple Security Updates Released for Exchange Server – updated March 12, 2021 – Microsoft Security Response Center