Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Microsoft dicht actief aangevallen zerodaylekken in Exchange

woensdag 3 maart 2021, 09:31 door Redactie, 16 reacties

Microsoft heeft buiten de vaste patchcyclus om beveiligingsupdates uitgebracht voor vier actief aangevallen zerodaylekken in Exchange. Via de kwetsbaarheden kregen aanvallers toegang tot Exchange-servers en aanwezige e-mailaccounts en konden aanvullende malware installeren om langere tijd toegang tot de omgeving van slachtoffers te behouden.

Volgens Microsoft zijn de vier kwetsbaarheden (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 en CVE-2021-27065) in Exchange Server 2013, 2016 en 2019 op beperkte schaal bij gerichte aanvallen ingezet. Van die vier lekken is CVE-2021-26855 het gevaarlijkst. Het betreft een server-side request forgery (SSRF) kwetsbaarheid in Exchange waardoor een aanvaller willekeurige http-requests kan versturen en zich als de Exchange-server kan authenticeren. Op een schaal van 1 tot en met 10 wat betreft de ernst is deze kwetsbaarheid met een 9,1 beoordeeld. Om hoeveel en wat voor slachtoffers het precies gaat laat Microsoft niet weten.

De waargenomen aanvallen beginnen met het maken van een "untrusted connection" naar een Exchange-server op poort 443. Dit kan worden voorkomen door dergelijke verbindingen te verbieden of door de Exchange-server alleen via een vpn vanaf het internet toegankelijk te maken, aldus Microsoft. Deze maatregel beschermt tegen het eerste deel van de aanval. De overige kwetsbaarheden kunnen worden misbruikt wanneer een aanvaller al toegang tot de server heeft of een beheerder zover weet te krijgen om een kwaadaardig bestand te openen.

Nadat de aanvallers via de zerodaylekken toegang tot de Exchange-server kregen installeerden ze webshells. Via de webshell kan een aanvaller de server op afstand benaderen en allerlei code en commando's uitvoeren. Vaak worden webshells voor verdere aanvallen ingezet. Ook in dit geval gebruiken de aanvallers de webshells om data te stelen en aanvullende aanvallen uit te voeren om zo de omgeving van het slachtoffer verder te compromitteren.

De aanvallen zijn volgens Microsoft uitgevoerd door een groep genaamd Hafnium die vanuit China opereert. De groep zou het voornamelijk hebben voorzien op entiteiten in de Verenigde Staten, waaronder onderzoekers van infectieziektes, advocatenkantoren, onderwijsinstellingen, defensiebedrijven, politieke denktanks en ngo's.

Organisaties worden opgeroepen om de beschikbare beveiligingsupdates te installeren. In dit artikel geeft Microsoft verschillende Indicators of Compromise (IOC's) waarmee organisaties kunnen kijken of ze zijn gecompromitteerd.

Google verhelpt actief aangevallen zerodaylek in Chrome
Staring College hervat lessen na schadelijke ransomware-aanval
Reacties (16)
Reageer met quote
03-03-2021, 10:23 door Anoniem
Dat wordt weer een avondje patchen :(
Reageer met quote
03-03-2021, 11:28 door Anoniem
Door Anoniem: Dat wordt weer een avondje patchen :(
Dit wordt nu direct patchen.
Reageer met quote
03-03-2021, 12:27 door Anoniem
En hoe zit dit dan met Microsoft 365, die maakt natuurlijk ook gebruik van Exchange, hoe snel rolt Microsoft deze patches uit binnen MS365?
Reageer met quote
03-03-2021, 13:15 door Anoniem
Door Anoniem: En hoe zit dit dan met Microsoft 365, die maakt natuurlijk ook gebruik van Exchange, hoe snel rolt Microsoft deze patches uit binnen MS365?
Volgens Microsoft is er geen effect voor O365 gebruikers. Mijn gok is dat ze in die omgeving de patches al uitgerold hebben.
Reageer met quote
03-03-2021, 13:41 door Bitje-scheef
Rolling upgrade... omdat het cloud is, oftewel migratie naar andere server (eventueel al bijgewerkt), server upgrade (en eventueel weer terug).
Reageer met quote
03-03-2021, 14:05 door Anoniem
Op Exchange 2010 (I know it's old.) heb ik Rollup 32 vanmorgen zonder reboot kunnen installeren.
Ik zou het niet te lang uitstellen.
Reageer met quote
03-03-2021, 14:14 door Anoniem
Door Anoniem: Dat wordt weer een avondje patchen :(
Door Anoniem:
Door Anoniem: Dat wordt weer een avondje patchen :(
Dit wordt nu direct patchen.
Automatisch patchen? Automatisch als in "automatisering". De naam van het beroep.
Reageer met quote
03-03-2021, 14:40 door Anoniem
https://docs.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
voor alle exchange versies: kun je zien hoe ver je achterloopt. ;-)

Voor exchange 2010 is er ook bij uitzondering een security patch uitgekomen.
even bijwerken naar CU31 en dan windows updates.
Reageer met quote
03-03-2021, 15:47 door Anoniem
Door Anoniem:
Door Anoniem: Dat wordt weer een avondje patchen :(
Door Anoniem:
Door Anoniem: Dat wordt weer een avondje patchen :(
Dit wordt nu direct patchen.
Automatisch patchen? Automatisch als in "automatisering". De naam van het beroep.

NOOIT Exchange server automatisch patchen..... OMFG
Reageer met quote
03-03-2021, 18:05 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Dat wordt weer een avondje patchen :(
Door Anoniem:
Door Anoniem: Dat wordt weer een avondje patchen :(
Dit wordt nu direct patchen.
Automatisch patchen? Automatisch als in "automatisering". De naam van het beroep.

NOOIT Exchange server automatisch patchen..... OMFG

een indicatie van kwaliteit?
Reageer met quote
03-03-2021, 18:45 door Anoniem
Door Anoniem:
Door Anoniem: Dat wordt weer een avondje patchen :(
Door Anoniem:
Door Anoniem: Dat wordt weer een avondje patchen :(
Dit wordt nu direct patchen.
Automatisch patchen? Automatisch als in "automatisering". De naam van het beroep.
Alles wat automatisch gaat gaat automatisch fout en dan noem ik even niet de naam van het product waarbij dat altijd fout gaat.
Reageer met quote
03-03-2021, 20:12 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Dat wordt weer een avondje patchen :(
Door Anoniem:
Door Anoniem: Dat wordt weer een avondje patchen :(
Dit wordt nu direct patchen.
Automatisch patchen? Automatisch als in "automatisering". De naam van het beroep.

NOOIT Exchange server automatisch patchen..... OMFG

Waarom niet?

Gewoon je testomgeving meteen instant. Draait het goed? Door naar prod.
24 uur later ben je toch de sjaak. Beter offline door een patch dan door een crimineel die je niet gepatchte bak pakt.

(Oliebol)
Reageer met quote
03-03-2021, 20:24 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Dat wordt weer een avondje patchen :(
Door Anoniem:
Door Anoniem: Dat wordt weer een avondje patchen :(
Dit wordt nu direct patchen.
Automatisch patchen? Automatisch als in "automatisering". De naam van het beroep.

NOOIT Exchange server automatisch patchen..... OMFG

je kan inderdaad een hoop automatisch patchen maar exchange hoort daar niet tussen. te complex
Reageer met quote
03-03-2021, 21:51 door Anoniem
Door Anoniem:
Door Anoniem: En hoe zit dit dan met Microsoft 365, die maakt natuurlijk ook gebruik van Exchange, hoe snel rolt Microsoft deze patches uit binnen MS365?
Volgens Microsoft is er geen effect voor O365 gebruikers. Mijn gok is dat ze in die omgeving de patches al uitgerold hebben.
Dat is ook wat ik denk.
Reageer met quote
03-03-2021, 22:08 door Anoniem


NOOIT Exchange server automatisch patchen..... OMFG

je kan inderdaad een hoop automatisch patchen maar exchange hoort daar niet tussen. te complex[/quote]
Exchange security updates vallen prima automatisch te patchen. Exchange CU updates niet.
Reageer met quote
03-03-2021, 23:23 door Toje Fos
Door Anoniem:
Door Anoniem: Dat wordt weer een avondje patchen :(
Dit wordt nu direct patchen.

Nu direct, natuurlijk, maar het gaat natuurlijk wel een avondje duren. Waarschijnlijk zelfs nachtwerk.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search
Certified Secure LIVE Online training

CoronaCheck app voor toegang tot sociale activiteiten:

25 reacties
Aantal stemmen: 1033
Wetsvoorstel dat toegang via testbewijzen regelt naar Tweede Kamer
19-04-2021 door Redactie

Het wetsvoorstel dat ervoor zorgt dat testbewijzen kunnen worden ingezet voor toegang tot activiteiten zoals sportwedstrijden, ...

30 reacties
Lees meer
Is strafrechtelijke vervolging van verkoop van gamecheats ook denkbaar in Nederland?
14-04-2021 door Arnoud Engelfriet

Juridische vraag: In de media wordt bericht dat in China een crimineel collectief is opgepakt dat gamecheats verkocht. Volgens ...

10 reacties
Lees meer
Datalek bij nieuwbouw
13-04-2021 door Anoniem

In de randstand was het begin deze maand mogelijk om je in te schrijven voor een loting van 28 nieuwbouw huizen. Om zo ...

14 reacties
Lees meer
Beste manier om een wachtwoord te bewaren?
09-04-2021 door EenVraag

Iemand enig idee wat de beste manier is om een wachtwoord te bewaren?

17 reacties
Lees meer
Datakluis als gouden kogel tegen datalekken?
15-04-2021 door Anoniem

Bij een webwinkel waar net een datalek is geweest staat de volgende tekst op de site Welke maatregelen neemt X om herhaling ...

22 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter