Skip to main content

Microsoft Exchange Zero-Day Exploits

Door 14 april 2021 CERT, SOC, Kwetsbaarheid
netwerk apparatuur

Deze blog bevat informatie over de Microsoft Exchange kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details vind je onderaan deze blog.

Update 14 april 2021

10:00 | In navolging op de kritieke kwetsbaarheden afgelopen maand in Microsoft Exchange (Hafnium), zijn via Patch Tuesday van Microsoft security patches uitgegeven voor nieuw gevonden kritieke kwetsbaarheden. Deze kwetsbaarheden zijn aangetroffen in Microsoft Exchange Server 2013, 2016 en 2019. Klanten van Exchange online zijn reeds beschermd. Via Remote Code Execution kan een kwaadwillende willekeurige code uitvoeren op het systeem.

Op dit moment zijn er nog geen directe aanwijzingen dat er exploits beschikbaar zijn. Vanuit Tesorion adviseren wij om zo spoedig mogelijk te patchen.

Meer informatie is beschikbaar via NCSC en Microsoft.

Update 12 maart 2021

10:00 | Er is een nieuwe dreiging voor de Microsoft Exchange kwetsbaarheid ontstaan. Helaas zijn onze angsten afgelopen avond werkelijkheid geworden. Dankzij de ProxyLogon kwetsbaarheid wordt nu door cybercriminelen een nieuwe ransomware variant genaamd ‘DearCry’ geïnstalleerd. Dat betekent dat je daarna geen toegang meer hebt tot je data en losgeld moet betalen. Kortom patch je Exchange Server en doe de DIY scan om te controleren of jouw Exchange Server gehackt is.

Update 11 maart 2021

19:00 | Wij adviseren je om goed naar backups te kijken en deze gescheiden op te slaan (in een apart backup-netwerk). Mocht je twijfelen aan de staat van je backup, neem contact op met het Tesorion CERT.

08:00 | Het is belangrijk dat je je Exchange Server vandaag nog patcht. Ga er inmiddels ook vanuit dat deze gehackt is. We adviseren je dringend om dat te controleren met de gratis beschikbaar gestelde DIY scan. De eerste signalen over een proof of concept voor de ProxyLogon kwetsbaarheid zijn op diverse bronnen verschenen. Het is nu wachten op de eerste aanvallen door andere kwaadwillende actoren. Kortom wees dit voor, patch je Exchange Server vandaag.

Update 6 maart 2021

15:00 | Heb jij je Exchange Server al gepatcht? Scan je Exchange server of je door de HAFNIUM kwetsbaarheid getroffen bent. Samen met onze partner Nextron bieden we je een gratis DIY scan aan. Kom je er toch niet uit? Tesorion helpt je graag.

Update 4 maart 2021

17:00 | Microsoft adviseert om zo snel mogelijk Exchange servers te patchen. Op 2 maart 2021 zijn er voor alle vier de kwetsbaarheden updates uitgebracht. Verder zijn indicators of compromise beschikbaar gesteld door onder andere Microsoft. Deze indicatoren kunnen worden gebruikt, om te bepalen of het aannemelijk is dat een server succesvol is misbruikt middels de betreffende kwetsbaarheden.

16:00 | Updates worden voor Exchange 2010 nog voorbereid.

15:00 | Onderstaand een overzicht van tot nu toe bekende indicators of compromise. Tesorion adviseert om de betreffende locaties te controleren op aanwezigheid van afwijkende bestanden. Web shells[3] of andere afwijkende bestanden in de mappen C:\inetpub\wwwroot\aspnet_client\ en C:\inetpub\wwwroot\aspnet_client\system_web. 

Kijk ook in Microsoft Exchange Server installation paths zoals

  • %PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
  • C:\Exchange\FrontEnd\HttpProxy\owa\auth\

Met mogelijk de bestandsnamen web.aspx, help.aspx, document.aspx, errorEE.aspx, errorEEE.aspx, errorEW.aspx, errorFF.aspx, healthcheck.aspx, aspnet_www.aspx, aspnet_client.aspx, xx.aspx, shell.aspx, aspnet_iisstart.aspx en one.aspx.

Kijk ook naar LSASS dumps[4] in de mappen C:\windows\temp\ en C:\root\.

Update 3 maart 2021

23:00 | Microsoft heeft een aantal kritieke kwetsbaarheden in Microsoft Exchange gepubliceerd. Microsoft Exchange Server 2013, 2016, en 2019 zijn hierdoor getroffen, Exchange Online niet. Door gebruik van te maken van Zero-Day exploits[1] kan een aanvaller Remote Code Execution[2] uitvoeren en hiermee mogelijk toegang tot de server en/of e-mail(accounts) krijgen.

Microsoft heeft reeds patches uitgebracht om deze kwetsbaarheden te mitigeren. Het is echter wel mogelijk dat kwetsbare systemen in een eerder stadium zijn misbruikt.

Aanleiding en achtergrond van deze blog

Deze blog bevat informatie over kwetsbaarheden, het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.

Potentieel risico

Bij succesvol misbruik van deze kwetsbaarheden kan een aanvaller volledige toegang tot een Microsoft Exchange Server krijgen. Ook kan een aanvaller aanhoudende toegang tot stand brengen en malware installeren, waardoor er later verdere acties uitgevoerd kunnen worden.

Zijn mijn systemen kwetsbaar?

Onderstaande Exchange versies die sinds 2 maart 2021 geen update hebben gehad zijn kwetsbaar:

  • Microsoft Exchange 2013
  • Microsoft Exchange 2016
  • Microsoft Exchange 2019

Exchange Online is niet kwetsbaar.

Detailinfo

De volgende kwetsbaarheden voor Exchange Server 2013, 2016, en 2019 zijn door Microsoft bekend gemaakt:

  • CVE-2021-26855 – Server Side Request Forgery (SSRF) laat een aanvaller HTTP requests sturen en als de Exchange Server authentiseren. Deze kwetsbaarheid kan op afstand worden geëxploiteerd.
  • CVE-2021-26857 – Deze “Insecure Deserialization” kwetsbaarheid zorgt ervoor dat willekeurige code als SYSTEM kan worden uitgevoerd op een Exchange Server. Hiervoor zijn admin rechten of een andere kwetsbaarheid benodigd.
  • CVE-2021-26858 – Na succesvolle authenticatie (met behulp van bijvoorbeeld de vorige twee kwetsbaarheden) kan deze kwetsbaarheid worden gebruikt om willekeurige bestanden op een kwetsbaar systeem te plaatsen.
  • CVE-2021-27065 – Dit is evenals een kwetsbaarheid waardoor willekeurige bestanden op een kwetsbaar systeem geplaatst kunnen worden.

Voor meer detail informatie adviseert Tesorion rechtstreeks de informatie van Microsoft te hanteren.

Achtergrond

  1. Zero-day exploits: Exploits waarvoor er nog geen patch is beschikbaar.
  2. Remote Code Execution: Een exploit waarbij willekeurige code op afstand door gebruik van een kwetsbaarheid kan worden uitgevoerd.
  3. Web shells: Een web interface waardoor een kwaadwillende een overgenomen systeem kan besturen.
  4. LSASS dumps: LSASS zorgt voor security policy enforcement op Windows systemen. Een dump hiervan bevat gevoelige informatie, zoals credentials.

Aanmelden