SOC / Support: Zero-day vulnerabilities Microsoft Exchange

10-03-2021

 

Artikel : beknopte samenvatting/executive summary:

  • De aanval betreft On-Premise (op klant locatie) Microsoft Exchange Servers (versies: 2013 – 2016 – 2019)
  • Microsoft Exchange 2010 kan mogelijk geraakt worden, maar tot op heden behoort deze niet tot de eerste aanvalsgolf
  • De Microsoft Cloud/Microsoft en Office365 infrastructuur is niet geraakt

 

Op 2 maart heeft Microsoft bekend gemaakt dat er sprake is van een Zero-Day binnen het Microsoft Exchange platform.

Deze exploit is door een “organisatie” met de naam HAFNIUM veelvuldig gebruikt/misbruikt. Doormiddel van deze aanval kregen ze toegang tot de web-/mailserver(s) en heeft men “backdoors” (toegangspoorten) gerealisseerd. Tevens nemen wij het plaatsen van “webshells” waar.

Onze prioriteit lag bij het informeren van onze klanten, updaten van de systemen en het dichten van het “lek”. Nadien zijn wij begonnen met het opschonen van de (mogelijk) vervuilde servers.

Wat hebben wij voor onze klanten ondernomen:

  • medio vorige week (week 9) impact analyse gemaakt van welke “sites” mogelijk geraakt zijn
  • plan van aanpak opgesteld voor de getroffen sites
  • planning patching en updating
  • communicatie naar klant betreffende te ondernemen stappen
  • updating en patching doorgevoerd
  • analyse van “vervuiling”, isoleren omgeving en opschonen
  • “samples” aanleveren aan onze verschillende “security providers” zodat zij de software beter kunnen trainen/optimaliseren

Wat nemen wij nu waar en waar zijn we alert op:

  • Is er sprake van onegoorloofde toegang tot credentials
  • Hogere alertheid betreffende mogelijke cryptolockers/gijzeling van e-mail en data
  • Phishing acties waarbij ook niet getroffen klanten (false) e-mails krijgen om doormiddel van het klikken op een link gegevens in te voeren

 

Het CCO SOC (Security Operations Center) blijft de ontwikkelingen continu volgen en waar nodig adequaat actie ondernemen. De CCO Supportdesk staat u (zoals gewoonlijk) graag te woord bij vragen omtrent deze kwestie.

 

Bronnen:

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

 

Auteur: Roberto Sassmannshausen – CCO SOC / Support | Laatste update: 12-3-2021 10:12

 

Nieuwsbrief

Maandelijks sturen wij een nieuwsbrief met daarin de laatste tips, aanbiedingen en nieuws over ICT, telefonie en printing.


CCO ict diensten - persoonlijk & professioneel