Microsoft heeft buiten de vaste patchcyclus om beveiligingsupdates uitgebracht voor vier actief aangevallen zerodaylekken in Exchange. Via de kwetsbaarheden kregen aanvallers toegang tot Exchange-servers en aanwezige e-mailaccounts en konden aanvullende malware installeren om langere tijd toegang tot de omgeving van slachtoffers te behouden.

Volgens Microsoft zijn de vier kwetsbaarheden (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 en CVE-2021-27065) in Exchange Server 2013, 2016 en 2019 op beperkte schaal bij gerichte aanvallen ingezet. Van die vier lekken is CVE-2021-26855 het gevaarlijkst. Het betreft een server-side request forgery (SSRF) kwetsbaarheid in Exchange waardoor een aanvaller willekeurige http-requests kan versturen en zich als de Exchange-server kan authenticeren. Op een schaal van 1 tot en met 10 wat betreft de ernst is deze kwetsbaarheid met een 9,1 beoordeeld. Om hoeveel en wat voor slachtoffers het precies gaat laat Microsoft niet weten.

De waargenomen aanvallen beginnen met het maken van een "untrusted connection" naar een Exchange-server op poort 443. Dit kan worden voorkomen door dergelijke verbindingen te verbieden of door de Exchange-server alleen via een vpn vanaf het internet toegankelijk te maken, aldus Microsoft. Deze maatregel beschermt tegen het eerste deel van de aanval. De overige kwetsbaarheden kunnen worden misbruikt wanneer een aanvaller al toegang tot de server heeft of een beheerder zover weet te krijgen om een kwaadaardig bestand te openen.

Nadat de aanvallers via de zerodaylekken toegang tot de Exchange-server kregen installeerden ze webshells. Via de webshell kan een aanvaller de server op afstand benaderen en allerlei code en commando's uitvoeren. Vaak worden webshells voor verdere aanvallen ingezet. Ook in dit geval gebruiken de aanvallers de webshells om data te stelen en aanvullende aanvallen uit te voeren om zo de omgeving van het slachtoffer verder te compromitteren.

De aanvallen zijn volgens Microsoft uitgevoerd door een groep genaamd Hafnium die vanuit China opereert. De groep zou het voornamelijk hebben voorzien op entiteiten in de Verenigde Staten, waaronder onderzoekers van infectieziektes, advocatenkantoren, onderwijsinstellingen, defensiebedrijven, politieke denktanks en ngo's.

Organisaties worden opgeroepen om de beschikbare beveiligingsupdates te installeren. In dit artikel geeft Microsoft verschillende Indicators of Compromise (IOC's) waarmee organisaties kunnen kijken of ze zijn gecompromitteerd.