De afgelopen dagen kwamen heftige koppen voorbij in het nieuws. Tienduizenden bedrijven zouden risico lopen door grote kwetsbaarheden in Microsoft Exchange Server. Die kwetsbaarheden zou bovendien actief misbruikt worden. Maar wat is er nu echt aan de hand en wat zijn de risico’s?
Op 2 maart 2021 bracht Microsoft een beveiligingsupdate uit voor Exchange Server 2019, 2016, 2013 en 2010. Deze update was opvallend, aangezien Microsoft normaal gesproken alleen beveiligingsupdates uitbrengt op de tweede dinsdag van de maand, ook wel bekend als Patch Tuesday. Deze patch wijkt af van die updatecadans. Ook bijzonder is dat Exchange Server 2010 ook nog een patch kreeg: de ondersteuning van deze elf jaar oude versie liep afgelopen oktober af.
Wat bleek: de patch dicht vier kwetsbaarheden die aanvallers toegang kunnen geven tot het volledige netwerk waar Exchange Server op geïnstalleerd is. Dit was een enorm probleem, aangezien tienduizenden, zo niet honderdduizenden bedrijven wereldwijd gebruikmaken van Exchange om hun e-mail- en kalenderdiensten mee te hosten. Deze kwetsbaarheden werden ook daadwerkelijk uitgebuit door hackers. Daarmee zijn deze kwetsbaarheden gemakkelijk het grootste cybersecurity-incident te noemen in zeker drie maanden. Dat klinkt misschien niet als veel, maar dat komt omdat we pas net het SolarWinds-debacle achter de rug hebben.
Zo werkt de hack
Microsoft heeft de hack uitgelegd in een blogpost. In totaal gaat het om vier kwetsbaarheden: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 en CVE-2021-27065. De aanvalsmethode, die Microsoft Hafnium noemt, maakt gebruik van een combinatie van deze vier kwetsbaarheden om binnen te dringen op het netwerk waar de Exchange-server op is aangesloten. Met de eerste kwetsbaarheid kon de aanvaller toegang tot de Exchange-server krijgen. Vervolgens gebruikten de aanvallers de tweede kwetsbaarheid om eigen code te draaien op de gekraakte machine. De derde en vierde kwetsbaarheden gaven de hacker schrijfrechten in elke map op de server.
Door de bovengenoemde kwetsbaarheden uit te buiten, kregen de hackers volledige toegang tot een Exchange-server. Met die toegang bouwden de hackers een zogenaamde web shell, waarmee de aangetaste server op afstand kon worden bestuurd. Aan de hand van die volledige toegang konden de hackers vervolgens gegevens vanaf het netwerk van een organisatie stelen.
De Taiwanese beveiligingsonderzoeker Cheng-Da Tsai en de leden van zijn team DEVCORE waren de kwetsbaarheden, die ze zelf ProxyLogon noemen, al sinds december op het spoor. Op de website die de beveiligingsonderzoeker over de kwetsbaarheden heeft gepubliceerd, vertelt hij dat hij Microsoft op 5 januari heeft ingelicht. Ondertussen hadden kwaadwillenden de kwetsbaarheden echter ook al gevonden.
De aanvallers
Microsoft heeft de aanvallers en hun exploit dus de naam Hafnium gegeven. Maar wie zitten er eigenlijk achter de aanval? Volgens verschillende experts gaat het om Chinese aanvallers. De aanvallers begonnen volgens beveiligingsbedrijf Volexity begin januari met het uitbuiten van de kwetsbaarheden. Microsoft en de Amerikaanse regering denken dat de aanvallers worden gesteund door de Chinese overheid, maar een woordvoerder van China ontkent deze beschuldigingen.
Waarschijnlijk zijn er inmiddels meer groepen actief, aangezien in de loop van februari de omvang van de aanval een stuk groter werd. Dit kon volgens experts twee dingen betekenen: of de aanvallers hadden hun tactiek gewijzigd, of er is een tweede groep die misbruik maakt van de kwetsbaarheden. In de tussentijd blijft de omvang van de aanvallen groeien, naarmate meer aanvallers op de kwetsbaarheden springen. Volgens ESET is het aantal hackergroepen die de kwetsbaarheden uitbuiten inmiddels tot boven de tien gestegen.
Op wie hebben de aanvallers het gemunt?
Aanvankelijk leken de aanvallen beperkt van omvang en alleen gericht op wat Reuters beschrijft als ‘klassieke doelwitten’. Aangenomen dat het inderdaad staatsgesteunde Chinese hackers waren, liggen overheidsorganisaties en grote bedrijven voor de hand. Veel van dergelijke grotere organisaties maken echter niet meer gebruik van een zelfbeheerde on-premise Exchange-server, maar zijn overgestapt naar een alternatief in de cloud, zoals Microsoft 365.
Exchange Server wordt echter nog breed gebruikt bij kleinere bedrijven en lokale overheidsorganisaties. Wereldwijd maken honderdduizenden organisaties gebruik van Exchange, en alle servers die simpelweg als mailserver zijn aangesloten op het internet en nog niet gepatcht zijn, zijn kwetsbaar. Meestal hebben dergelijke organisaties niet genoeg capaciteit om bovenop de ontwikkelingen in cyberbeveiliging te zitten. Daar maken aanvallers nu gretig gebruik van.
Inmiddels zou de web shell al op meer dan 5000 e-mailservers in meer dan 115 landen geïnstalleerd zijn, schrijft Threatpost. Vanuit verschillende hoeken en landen komen meldingen binnen van bedrijven en overheidsinstanties waarbij de Exchange-kwetsbaarheden uitgebuit zijn.
Ransomware-aanvallen
Kleinere organisaties hebben voor de aanvallers niet altijd boeiende informatie om te stelen. Ze zijn echter wel kwetsbaar, dus is het niet onlogisch dat de Exchange-hack leidt tot een golf van ransomware-aanvallen. Dergelijke kleine organisaties lopen niet alleen vaak achter met hun beveiliging, maar ze hebben ook hun back-ups vaak niet op orde. Dat maakt het waarschijnlijker dat ze toch betalen wanneer ze door ransomware geraakt worden.
Inmiddels zijn er al verschillende soorten ransomware opgedoken die inhaken op de ProxyLogon-kwetsbaarheden. BleepingComputer schrijft over een recente nieuwe vorm, genaamd DearCry. De software versleutelt alle bestanden op de getroffen computer tot .CRYPT-bestanden. Wanneer de ransomware alle bestanden heeft versleuteld, verschijnt er een tekstbestand genaamd readme.txt op het bureaublad. Daarin staan instructies over hoe het slachtoffer contact met de hacker kan opnemen. BleepingComputer meldt dat er in één geval 16.000 dollar aan losgeld gevraagd werd. Dat is ongeveer 13.500 euro.
Patch installeren mogelijk niet genoeg
Om er zeker van te zijn dat je geen kans loopt om slachtoffer te worden van een ransomware-aanval, is het van belang om onmiddellijk de patch te installeren die Microsoft op 2 maart heeft uitgebracht. Met die patch zijn de kwetsbaarheden opgelost en zijn nieuwe aanvallen niet meer mogelijk. De patch kan via Windows Update worden geïnstalleerd, maar de kwetsbaarheden kunnen ook direct opgelost worden met een script dat Microsoft op GitHub heeft gepubliceerd.
Als het niet op korte termijn haalbaar is om de patch te installeren, is het van belang om zo snel mogelijk de server af te sluiten van het internet. Een andere oplossing is alleen vertrouwde verbindingen met de server toestaan of de server achter een VPN te plaatsen.
Het oplossen van de kwetsbaarheden in Exchange sluit echter niet uit dat je alsnog geraakt wordt door een ransomware-aanval. Als de aanvaller er al in is geslaagd om binnen te dringen en de webshell te installeren, dan heeft hij een vrijuit bruikbare backdoor tot je systeem. Die backdoor wordt niet verwijderd door de patch.
Het verwijderen van dergelijke backdoors is uiteindelijk de taak van antivirussoftware op je systeem. Microsoft heeft een lijst met indicators of compromise (IoC’s) gepubliceerd die antivirusbedrijven kunnen gebruiken om mogelijke aanvallers op te sporen en uit te schakelen. Uiteraard kan de Defender-antivirussoftware van Microsoft zelf ook deze backdoors opsporen. Zorg er dus voor dat je antivirussoftware up-to-date is en je er zeker van bent dat die onlangs nog een virusscan heeft uitgevoerd. Het is overigens niet zeker dat Microsoft alle IoC’s heeft gevonden, dus blijf alert op mogelijk afwijkend gedrag van je server.
Ook is het van groot belang om een back-up van je belangrijke software te hebben waar een aangetaste server geen directe toegang tot heeft. Word je dan onverhoopt toch geraakt door ransomware, is de urgentie om te betalen lager.
Belang van goede cyberbeveiliging nogmaals onderstreept
De omvang van de Exchange-hack en het feit dat dit zo kort op de ontwikkelingen rond de SolarWinds-hack volgt, onderstrepen nogmaals het belang om altijd goed op je hoede te zijn op het gebied van cyberbeveiliging. Alhoewel gebruikers van Exchange Server weinig hadden kunnen doen om een directe aanval te vermijden, zijn er tal van maatregelen waarmee de impact geminimaliseerd kan worden.
In dit geval is vooral het belang van het snel installeren van updates en het opzetten van een goed back-upbeleid overduidelijk. Ook met een slimme indeling van het bedrijfsnetwerk kan worden voorkomen dat één gekraakte server je hele bedrijf platlegt.
De grootste winst is echter te behalen in het creëren van bewustzijn onder de kleinere organisaties die het wat minder nauw nemen met hun beveiliging. In dit soort gevallen kan een dergelijke kostenbesparing zomaar duizenden euro’s schelen.