Begin maart kwam naar buiten dat er kwetsbaarheden in de software Microsoft Exchange (bedoeld voor het beheren van mailservers) zijn aangetroffen. Chinese hackers en naar verluid verschillende andere groepen kwaadwillenden hebben gebruik kunnen maken van deze kwetsbaarheden waardoor naar grote waarschijnlijkheid wereldwijd honderdduizenden Exchange servers1 zijn gehackt. In Amerika zijn al meer dan 30.000 organisaties slachtoffer geworden van cyberspionage. De on-premise (lokale) servers lopen gevaar. De kwetsbaarheden zijn van invloed op servers die gebruik maken van de software: Exchange Server 2013, Exchange Server 2016 en Exchange Server 2019. Exchange Online (ook bekend als Office 365) is niet getroffen.
Wat is er gebeurd?
Microsoft is begin januari op de hoogte gebracht van vier ‘zero-day bugs’. Zerodays zijn kwetsbaarheden in de software waarvan de softwareontwikkelaar zelf nog niet op de hoogte is. Via zerodays kunnen kwaadwillenden de servers van organisaties binnendringen en op afstand hier volledige controle over uitvoeren. Er zijn vier verschillende zerodays gevonden, waarvan er drie alleen kunnen worden uitgevoerd wanneer er eerder sprake is geweest van een andere kwetsbaarheid in de software waardoor eerdere toegang tot de servers is verkregen. De zero-days zijn gerangschikt op kwetsbaarheid. De kwetsbaarheid Server Side Request Forgery (SSRF) is voor hackers het meest essentieel. Ethisch hacker Martijn Baalman legt uit: “Door middel van een SSRF kunnen cybercriminelen een verzoek (zoals b.v. een pop-up scherm met de vraag of deze verbinding vertrouwd mag worden) sturen waardoor het lijkt alsof die van de Exchange Server afkomstig is. Gebruikers volgen het verzoek en geven toegang, op die manier krijgen cybercriminelen toegang tot het account van de gebruiker die het verzoek volgt.” Wanneer de hacker eenmaal toegang heeft tot het account van een gebruiker, is het een verloren zaak. “Nadat toegang is verkregen worden de credentials (inloggegevens) van de gebruiker overgenomen en dan kun je met de tweede kwetsbaarheid (een insecure deserialization vulnerability) de credentials gebruiken om codes te plaatsen op de server” aldus Baalman. Wanneer alle kwetsbaarheden als een ketting, een zogenoemde attack chain, worden gebruikt, kan dit leiden tot Remode Code Execution (RCE), server gijzeling, data diefstal, backdoors, etc. Verschillende groepen aanvallers hebben de afgelopen tijd volledig geautomatiseerd kunnen zoeken naar kwetsbare servers, de kwetsbaarheden konden tevens geautomatiseerd geëxploiteerd worden. Dit betekent dat als een server de afgelopen tijd kwetsbaar was, de kans groot is dat deze ook daadwerkelijk is getroffen.
Op 2 maart bracht Microsoft patches uit, dit zijn updates die een kwetsbaarheid of een probleem oplossen. Microsoft stelde op dat moment dat de kwetsbaarheden in de software enkel in “beperkte, gerichte aanvallen’’ worden uitgebuit. Baalman reageert daar kritisch op, de aanvallen worden volledig geautomatiseerd uitgevoerd waardoor iedere server (de versies van 2013, 2016 en 2019) die toegang heeft verleend, slachtoffer kan worden. Hoewel er patches zijn uitgegeven, hangt de omvang van een mogelijke inbreuk op de Exchange servers af van de snelheid en het installeren van de patches. Het is daarom belangrijk om zo snel mogelijk de door Microsoft beschikbaar gestelde updates te installeren.2 Echter voelt een update na de aanval, als mosterd na de maaltijd. De zogenoemde backdoor kan in de tussentijd al zijn geplaatst. Alvorens we ingaan op de backdoor, zullen we eerst ingaan op de patches.
De volgende stap: Patchen
De eerste stap is om te controleren of de software on-premise of bij een hostingpartij op de servers is geïnstalleerd. Exchange Server 2013, 2016 en 2019 lopen daarbij gevaar. Wanneer gebruik wordt gemaakt van de diensten van Exchange Online, ook wel bekend als Office 365, is het vooralsnog onwaarschijnlijk dat die geraakt zijn. Exchange Online is namelijk niet getroffen.
Het is van groot belang om zo snel mogelijk de door Microsoft uitgebrachte updates te installeren. De beveiligingsupdates zijn beschikbaar voor Exchange Server 2013, 2016 en 2019. Let wel, wanneer de update handmatig geïnstalleerd wordt kan het zijn dat sommige bestanden niet correct worden bijgewerkt. Als dit probleem zich voordoet, verschijnt er geen foutbericht of indicatie dat de update niet correct is geïnstalleerd. Om dit probleem te voorkomen, heeft Microsoft een stappenplan opgesteld om de beveiligingsupdate op een juiste manier te installeren.
Uit onderzoek van het Nationaal Cyber Security Centrum (NCSC) bleek dat op 8 maart op meer dan 40% van de Nederlandse Microsoft Exchange servers de beschikbare updates nog niet geïnstalleerd zijn. Het NCSC adviseert dringend om de updates zo snel mogelijk te installeren.
Controleer op mogelijk misbruik
Ook al is de software snel geüpdatet, kan het zijn dat er in de tussentijd al een ‘achterdeur’ is geplaatst door de hackers, waardoor zij (op een later moment) alsnog kunnen indringen op de servers. Het is zeer aannemelijk dat hackers op een later moment terug zullen keren om de server volledig over te nemen en data te stelen. “Er is een verschil tussen hackers die hacken om schade aan te richten, door bijvoorbeeld het plaatsen van ransomware. Dit lijkt meer op een staat-gesponsorde hack, omdat het in dit verhaal puur om data gaat. Hackers op grote schaal met kritieke kwetsbaarheden servers overnemen, en data eruit halen. Het houdt dus ook zeker verband met spionage” aldus ethisch hacker Baalman. Het is daarom belangrijk om de Exchange Server te (laten) controleren op mogelijk misbruik. Dit kan gedaan worden aan de hand van de door Microsoft uitgebrachte scripts die de server scant op bekende Indicators-of-Compromise (IoC’s). Het herkennen van IoC’s kan helpen bij het detecteren van datalekken, malwarebesmettingen of andere bedreigingen3. Daarnaast is het goed om de activiteiten op het systeem te monitoren. Denk bijvoorbeeld aan:
- Onverwachte benadering van onbekende IP-adressen,
- Onverwachte benadering op tijdstippen buiten reguliere werktijden.4
Dit kun je controleren door te monitoren welke devices verbonden zijn met het netwerk. Elk device heeft een eigen IP-adres.
Wat te doen bij mogelijk misbruik?
Het NCSC geeft een aantal handvatten over wat te doen bij mogelijk misbruik.
- Controleer systemen; zorg voor goede back-ups,
- Reset wachtwoorden en gebruikersgegevens,
- Aangifte bij de Politie,
- Overweeg het maken van een melding bij de Autoriteit Persoonsgegevens. Dit is verplicht wanneer er sprake is van een datalek dat ernstige gevolgen heeft voor de rechten en vrijheden van betrokkenen. Het datalek moet in dat geval binnen 72 uur bij de Autoriteit Persoonsgegevens worden gemeld,
- Herstel het systeem of richt dit opnieuw in.
Het is dus voor de on-premise of bij hostingpartijen ondergebrachte Exchange Server 2013, 2016 en 2019 zaak om zo snel mogelijk de software de updaten en te controleren op mogelijk misbruik. Bij mogelijk misbruik is het aan te raden om de eerdergenoemde stappen te volgen.
Meer informatie over de zero-days? Beluister onze podcast PrivacyHack! op Spotify, Apple Podcast en SoundCloud.
Meer weten hierover?
Als Privacy Professional meer inzicht in de technische kant van gegevensbescherming, dan is de training CIPT wellicht iets voor jou! Ook geschikt voor CISO’s die meer van gegevensbescherming willen weten. Bij Privacy1 volg je de training van een trainer met FIP-accreditatie, krijg je fysiek (en extra) materiaal en kun je je eventueel ook heel makkelijk laten certificeren: maar liefst 95% van onze deelnemers slaagt de eerste keer.
1 Zogenaamde groepssoftware die gebruikt wordt voor het centraal beheren van e-mails, afspraken, contacten en taken
2 https://www.zdnet.com/article/everything-you-need-to-know-about-microsoft-exchange-server-hack/
3 https://digitalguardian.com/blog/what-are-indicators-compromise
4 https://www.ncsc.nl/actueel/nieuws/2021/maart/5/update-microsoft-exchange-server