Het woord ZERO-DAY is verborgen te midden van een scherm vol enen en nullen.

Microsoft dringt er bij klanten op aan om zo snel mogelijk noodpatches te installeren ter bescherming tegen hoogopgeleide hackers die actief misbruik maken van vier zero-day-kwetsbaarheden in Exchange Server.

De softwaremaker zei dat hackers die namens de Chinese overheid werken de voorheen onbekende exploits hebben gebruikt om on-premises Exchange Server-software te hacken die volledig is gepatcht. Tot nu toe is Hafnium, zoals Microsoft de hackers noemt, de enige groep die de kwetsbaarheden heeft misbruikt, maar het bedrijf zei dat dit zou kunnen veranderen.

“Hoewel we snel hebben gewerkt om een ​​update voor de Hafnium-exploits te implementeren, weten we dat veel nationale actoren en criminele groepen snel zullen handelen om te profiteren van niet-gepatchte systemen,” Microsoft Corporate Vice President Customer Security & Trust Tom Burt schreef in een post die dinsdagmiddag werd gepubliceerd: “Vandaag onmiddellijk patches toepassen is de beste bescherming tegen deze aanval.”

Burt identificeerde de doelen niet anders dan te zeggen dat het bedrijven zijn die lokale Exchange Server-software gebruiken. Hij zei dat Hafnium vanuit China opereert, voornamelijk met het doel gegevens te stelen van in de VS gevestigde onderzoekers van infectieziekten, advocatenkantoren, instellingen voor hoger onderwijs, defensie-aannemers, beleidsdenktanks en niet-gouvernementele organisaties.

De zero-days zijn aanwezig in Microsoft Exchange Server 2013, 2016 en 2019. De vier kwetsbaarheden zijn:

De aanval, zei Burt, omvatte de volgende stappen:

Krijg toegang tot een Exchange-server met gestolen wachtwoorden of door de zero-days te gebruiken om de hackers te vermommen als personeel dat toegang zou moeten hebben Maak een webshell om de gecompromitteerde server op afstand te besturen Gebruik die externe toegang om gegevens van een doelnetwerk te stelen

Zoals gebruikelijk bij Hafnium opereerde de groep vanuit gehuurde virtual private servers in de VS. Volexity, een beveiligingsbedrijf dat de aanvallen privé aan Microsoft rapporteerde, zei dat de aanvallen al op 6 januari leken te beginnen.

“Hoewel de aanvallers aanvankelijk grotendeels onder de radar leken te zijn gevlogen door simpelweg e-mails te stelen, zijn ze onlangs overgestapt op het lanceren van exploits om voet aan de grond te krijgen”, schreven Volexity-onderzoekers Josh Grunzweig, Matthew Meltzer, Sean Koessel, Steven Adair en Thomas Lancaster. Vanuit het perspectief van Volexity lijkt het erop dat bij deze exploitatie meerdere operators betrokken zijn die een breed scala aan tools en methoden gebruiken voor het dumpen van inloggegevens, zijwaarts verplaatsen en verdere achterdeursystemen.”

Meer details, inclusief indicatoren van compromis, zijn hier en hier beschikbaar.

Naast Volexity heeft Microsoft ook beveiligingsbedrijf Dubex gecrediteerd voor het privé rapporteren van verschillende delen van de aanval aan Microsoft en het assisteren bij een onderzoek dat volgde. Bedrijven die een kwetsbare versie van Exchange Server gebruiken, moeten de patches zo snel mogelijk toepassen.

By Admin

Leave a Reply

Your email address will not be published. Required fields are marked *