Alles wat je moet weten over de Microsoft Exchange hack

Grote kwetsbaarheden binnen Microsoft Exchange Server hebben de techwereld flink opgeschud. Ze worden namelijk volop misbruikt voor verkeerde doeleinden. Dit is wat er is gebeurd rond de Microsoft Exchange hack en welke maatregelen er zijn getroffen.

Waar het vaak zo is dat bedrijven een zwakte patchen nadat deze allang bekend is, kwam er op 2 maart 2021 een vrij opvallende update van Microsoft. Het kwam met een beveiligingsupdate voor Exchange Server 2010, 2013, 2016 en 2019. Op zich natuurlijk goed, ware het niet dat deze update buiten het normale patch Tuesday-ritme viel. Kortom, daar was meer aan de hand en dat is gebleken. De patch dichtte vier kwetsbaarheden waarmee kwaadwillenden toegang konden krijgen tot het gehele netwerk waarop Exchange Server is geïnstalleerd.

Dit initiatief kwam echter niet bij Microsoft vandaan, want het is begin januari op de hoogte gesteld door de Taiwanese security-expert Cheng-Da Tsai. Helaas was Cheng-Da niet de eerste die het lek op het spoor kwam, waardoor er toen al veel kwaad was aangedaan. Kwaad waarvan Microsoft nog niet op de hoogte was en waarvoor het zelfs na de melding van de beveiligingsexpert nog twee maanden nodig had om deze op te lossen. 

Vier Exchange vulnerabilities

Exchange Server is voor honderdduizenden bedrijven de host van hun e-mail en agenda (Microsoft Outlook en Calendar). Microsoft schrijft over een aanval genaamd Hafnium, die gebruikmaakt van alle vier de kwetsbaarheden om zo het netwerk op te komen. De zwaktes zijn geregistreerd als CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 en CVE-2021-27065. 

Niet dat alle zwaktes hetzelfde doen. Eén wordt gebruikt om toegang te krijgen, de tweede om code op het apparaat te draaien en de derde en vierde maken het mogelijk om schrijfrechten te krijgen in welke map dan ook op de server. Hackers zetten er een web shell op en zo konden ze op afstand hun gang gaan. Gezamenlijk is het dus wel degelijk mogelijk om totale controle te krijgen over de Exchange-server en een heel netwerk te infecteren. 

Grote doelwitten

Dat is ook gebeurd. Zo schijnt er volgens Volexity een Chinese hackersgroep achter de aanval te zitten, al verdenkt Microsoft samen met de Amerikaanse regering dat het toch echt de Chinese overheid is die er achter zit. Het kan ook zijn dat er meerdere hackersgroepen zijn die misbruik maken van de kwetsbaarheden. Het doel is waarschijnlijk niet zozeer de particuliere burger, maar juist de grote bedrijven. Enerzijds een groot bedrijf als Microsoft zelf, maar ook grote multinationals. 

Het lastige is dat die laatste categorie waarschijnlijk niet wordt bereikt, omdat die vaak al over zijn op Microsoft 365. Dat bevindt zich in de cloud en hiervoor is geen Exchange-server nodig. Het zijn dus vooral kleine bedrijven en overheidsinstanties die nog van een eigen Exchange-server gebruikmaken. Als deze niet de update van Microsoft hebben gedownload die begin maart uitkwam, dan is er dus nog steeds een groot beveiligingsrisico.

Het nadeel hiervan is dat kleine bedrijven hun cybersecurity vaak minder goed op orde hebben, omdat dit vaak een taak is van de IT’er die ook veel andere zaken moet regelen, in plaats van dat het een aparte afdeling is binnen het bedrijf. Het voordeel is echter dat kleine bedrijven ook minder gedupeerden hebben en dus minder informatie om te verkopen. Hackers kunnen echter wel hun e-mailadressen compromitteren en op die manier phishing en ransomware verspreiden.

Volgens Threatpost is de web shell al op ruim 5.000 e-mailservers gezet, wat betekent dat hackers al veel macht hebben. Er is al allerlei ransomware gevonden die gelieerd lijkt aan de Microsoft Exchange-hack, waaronder DearCry dat je bestanden omzet in .CRYPT-bestanden die niet toegankelijk zijn tot een bedrijf tienduizenden euro’s aan losgeld ophoest (en dan misschien nog steeds niet). 

Dit kun je er tegen doen

Als je een server niet kunt updaten, dan wordt aangeraden deze van het internet te halen. Zo schrijft Microsoft erover: "Deze kwetsbaarheden worden gebruikt als onderdeel van een aanvalsketen. De eerste aanval vereist de mogelijkheid om een niet-vertrouwde verbinding te maken met Exchange-serverpoort 443. Je kunt je hiertegen beschermen door niet-vertrouwde verbindingen te beperken of door een VPN in te stellen om de Exchange-server te scheiden van externe toegang."

Vervolgens: "Het gebruik van deze beperking biedt alleen bescherming tegen het eerste deel van de aanval; andere delen van de keten kunnen worden geactiveerd als een aanvaller al toegang heeft of een beheerder kan overtuigen om een kwaadaardig bestand uit te voeren."

Cyberaanvallen zijn in 2020 door de pandemie enorm toegenomen en we zien het ene na het andere securityprobleem de kop opsteken. Na SolarWinds is dit (en het recente lek bij Facebook) een van de grootste cybersecurityproblemen waarmee we het afgelopen half jaar te maken hebben gehad. 

Wil je het euvel verhelpen, download dan zo spoedig mogelijk de patch die Microsoft op 2 maart uitbracht, of gebruik dit script dat Microsoft op GitHub zette. Het is verstandig om er iets aan te doen en niet een statistiek te worden, al lopen die enorm uiteen. Cybersecurity-expert Brian Krebs beweert dat er 30.000 Amerikaanse bedrijven zijn gehackt, Bloomberg denkt 60.000. 

Op 12 maart rapporteerde Microsoft nog dat er 82.000 servers waren die nog geen patch hebben gekregen, een enorm zorgelijk aantal, dat betekent dat we waarschijnlijk vooralsnog niet van dit kwaadaardige kwartet af zijn.

Geschreven door: Laura Kempenaar op

Category: Nieuws, Security

Tags: Microsoft, Hack, Cybercrime