Exchange hafnium zero day exploit

Actieplan Microsoft Exchange Zero-day-kwetsbaarheden

Onlangs zijn er belangrijke kwetsbaarheden aangetroffen in Microsoft Exchange server. Een kwaadwillende met SYSTEM-rechten...

Secwatch

Gepubliceerd op 12-03-2021


Onlangs zijn er belangrijke kwetsbaarheden aangetroffen in Microsoft Exchange server. Een kwaadwillende met SYSTEM-rechten kan op afstand met een combinatie van enkele kwetsbaarheden, willekeurige code uitvoeren. Volgens het Nationaal Cyber Security Center is er een hoge kans op misbruik van de kwetsbaarheden, mogelijk met grote schade tot gevolg.

  1. Maak een inventarisatie
    Hosten jullie lokaal (on-premise) een Exchange server?
    Is deze Exchange server kwetsbaar? Hoogstwaarschijnlijk wel, tenzij jullie de nieuwste ‘out-of-bound’ updates hebben geïnstalleerd, die op 2 maart 2021 door Microsoft zijn uitgebracht.
  1. Installeer de beschikbare updates zo snel mogelijk!
    De beveiligingsupdates zijn beschikbaar voor Exchange servers uit 2013, 2016 en 2019. Op de website van Microsoft is hierover meer informatie te vinden.
  1. Scan je Exchange server op kwaadaardige WebShells
    Gebruik hiervoor het script van Microsoft en de Microsoft Support Emergency Response Tool.
    Ook nadat de updates zijn uitgevoerd is het belangrijk om te controleren of de kwetsbaarheden zijn misbruikt. FireEye heeft gezien dat er vanaf begin januari 2021 al misbruik is gemaakt van deze kwetsbaarheden.
  1. Monitor je netwerk
    Controleer of er op je Exchange servers en endpoints verdachte (malware) activiteiten plaatsvinden. Controleer de firewall logs op verdacht uitgaand verkeer.
  1. Reset preventief alle accounts
    Dit geldt voor alle gebruikersaccounts, administrator accounts, service accounts, etc.

Als je het Microsoft-script hebt uitgevoerd en er zijn indicaties dat er kwetsbaarheden zijn misbruikt, betekent dit dat kwaadwillenden volledige rechten hebben gehad op het systeem. De kans is dan zeer aannemelijk dat je netwerk gecompromitteerd is. Neem direct maatregelen! En voer in ieder geval en zo snel mogelijk met je antivirussoftware een scan uit op de systemen die in verbinding staan met de Exchange server. Gebruik voor een second opinion nog een tweede virusscanner, bijvoorbeeld ESET online.

Laat een Basis Threat Hunt Assessment uitvoeren om te kijken of er indicaties zijn dat er Exchange Zero-day-kwetsbaarheden zijn misbruikt. Tijdens dit assessment wordt niet alleen de Exchange server zelf grondig onderzocht maar ook andere servers om te zien of er mogelijk malware is neergezet en of er onbekende accounts zijn aangemaakt in de Active Directory-omgeving.

Dit is een diepgaand forensisch onderzoek waarbij ons Threat Hunt-team actief en met speciale tooling de assets scant. De resultaten worden vervolgens geanalyseerd door een Threat Intelligence Analist en opgetekend in een rapport dat IT-managers en security-verantwoordelijken een overzicht biedt van alle kwesties en risico’s omtrent de Microsoft Exchange-kwetsbaarheden. In één oogopslag zie je alle problemen die meteen een reactie vereisen. Bovendien worden er adviezen gegeven waarmee je de veiligheidssituatie van je omgeving kunt versterken.

Ons SECWATCH Threat HUNT Team is te bereiken via 036-5367573 en via threathunt@secwatch.nl. Ook voor advies bij het scannen van de Exchange-servers of over de analyse van de resultaten kun je bij ons terecht.

 

Gerelateerde onderwerpen

Telefoonnummer gekopieerd naar klembord