Ernstige kwetsbaarheden in Exchange gepatcht, zijn we nu klaar?

Afgelopen week ontvingen wij bericht van Microsoft dat er ernstige zero-day lekken in hun Exchange Software zit waarvan de eerste berichten dateren van 2 maart 2021. Net zoals zovelen van jullie hebben wij voor onze klanten de bijbehorende patches gedraaid om deze zeroday lekken te dichten.

En toch knaagt het….

Volgens berichtgevingen in de media werden deze exploits al meerdere malen misbruikt door statelijke actoren voordat de patches zijn vrijgegeven door Microsoft. Wie zegt dat zij niet bij onze klanten hebben ‘gerammeld’ om hun Exchange Server te hacken?

Na inspectie zagen we bij een klant dat al voor de aankondiging in de media, geprobeerd is deze exploit te misbruiken. Namelijk op 3 maart jl.. Dit heeft te maken dat de bots al eerder actief aan het scannen waren en aanvallen uitvoerden met Python scripts.

Door deze server te analyseren zijn we meer te weten gekomen over de aanval route en hebben vol verbazing deze gevolgd. Er wordt geprobeerd mee in te loggen met een gebruiker waarna de hacker een “achterdeurtje” installeert. Deze kan later gebruikt worden om verder in te breken of om ransomware te installeren.

Het is na het patchen van belang om de Exchange Server goed na te lopen om te kijken of deze misbruikt is. Patchen alleen is niet voldoende! Is de Server gehackt dan heeft het patchen geen zin meer. Migreer dan zo snel mogelijk naar een nieuwe Exchange Server.

Bronnen om de Exchange Server na te lopen zijn te vinden op:

Microsoft Blog: Hafnium targeting Exchange servers

Palo Alto Networks Blog: Hunting for the recent attacks targeting Microsoft Exchange