image

Microsoft: veel besmette Exchange-servers nog niet verder aangevallen

vrijdag 26 maart 2021, 15:36 door Redactie, 6 reacties

Veel Exchange-servers die de afgelopen weken door aanvallers zijn gecompromitteerd en besmet met een webshell zijn nog niet verder aangevallen, bijvoorbeeld met ransomware. Dat laat Microsoft weten. Meer dan 92 procent van alle Exchange-servers toegankelijk vanaf het internet is inmiddels gepatcht of door middel van genomen mitigatiemaatregelen beschermd tegen aanvallen.

Op 2 maart rolde Microsoft noodpatches uit voor vier kwetsbaarheden in Exchange 2013, 2016 en 2019 waardoor een aanvaller kwetsbare Exchange-servers op afstand kan overnemen. De beveiligingslekken werden al voor het uitkomen van de patches aangevallen, door een "nation-state actor" die vanuit China opereert, aldus Microsoft. In de drie weken na het uitkomen van de updates zag het techbedrijf dat allerlei andere aanvallers ook misbruik van de kwetsbaarheden maakten.

Tijdens het onderzoek naar de Exchange-aanvallen zag Microsoft dat servers door meerdere aanvallers waren gecompromitteerd. Deze aanvallers installeren een webshell zodat ze toegang tot de server behouden. Het installeren van de beveiligingsupdates zorgt er niet voor dat de webshell wordt verwijderd. Bij veel van de besmette systemen die Microsoft waarnam zijn er nog geen aanvullende aanvallen waargenomen, zoals het installeren van ransomware of het stelen van gegevens.

Volgens Microsoft hebben aanvallers geprobeerd om eerst zoveel systemen als mogelijk te infecteren. Daarbij hebben sommige aanvallers andere aanvallers die al op het systeem aanwezig waren verwijderd. In het geval er wel aanvullende aanvallen plaatsvonden gaat het onder andere om de installatie van ransomware en cryptominers, die de rekenkracht van de server gebruiken voor het delven van cryptovaluta.

Tevens proberen aanvallers inloggegevens te stelen waarmee ze toegang tot de server kunnen krijgen en behouden. "Het aantal waargenomen aanvallen waarbij inloggegevens wordt gestolen, gecombineerd met de hoge rechten van accounts voor Exchange-servers, houdt in dat deze aanvallen organisaties kunnen blijven raken wanneer het systeem niet volledig na een aanval wordt opgeschoond, zelfs wanneer de updates zijn geïnstalleerd", stelt Microsoft.

In een nieuwe blogposting geeft het techbedrijf organisaties verschillende aanwijzingen om eventuele aanvallers te detecteren en vervolgstappen te nemen. Ook worden verschillende best practices gegeven, zoals het draaien van Exchange met verminderde rechten, het randomiseren van lokale beheerderswachtwoorden en ervoor zorgen dat accounts van domeinbeheerders niet op 'member servers' en werkstations kunnen inloggen.

Image

Reacties (6)
26-03-2021, 16:01 door Anoniem
in de VS waar ze alles en iedereen aanklagen is Microsoft al aangeklaagt voor deze nalatigheid?
26-03-2021, 16:58 door Anoniem
Wanneer komt de patch dat je webtoegang kunt uitschakelen als je dat niet gebruikt?
(bijv als het een hybrid server is icm een Office365 omgeving)

Geen services toegankelijk die je niet gebruikt is toch een algemeen uitgangspunt maar Exchange kan niet functioneren als je dat zo inricht... dat zou men wel eens mogen gaan fixen!
26-03-2021, 17:32 door walmare
Hoe kan Microsoft dit weten? zit er een backdoor in windows?
26-03-2021, 18:13 door Anoniem
Door walmare: Hoe kan Microsoft dit weten? zit er een backdoor in windows?
Ik denk dat die security scanner die ze uitgebracht hebben hiervoor de bevindingen wel naar huis stuurt, en dat ze daaruit dan die statistiek halen.
Net zoals "virusscanner bedrijven" altijd precies weten te vertellen hoeveel mensen er wel of geen last hebben van virussen.
26-03-2021, 18:32 door Anoniem
Door walmare: Hoe kan Microsoft dit weten? zit er een backdoor in windows?
Heb je weleens een log aangezet op je router/firewall? Je zult verrast zijn hoeveel verkeer er van al je Windows systemen naar Microsoft gaat en probeer ze maar eens te blokken en ondervindt het resultaat daarvan.
26-03-2021, 21:13 door Anoniem
Door Anoniem:
Door walmare: Hoe kan Microsoft dit weten? zit er een backdoor in windows?
Ik denk dat die security scanner die ze uitgebracht hebben hiervoor de bevindingen wel naar huis stuurt, en dat ze daaruit dan die statistiek halen.
Net zoals "virusscanner bedrijven" altijd precies weten te vertellen hoeveel mensen er wel of geen last hebben van virussen.
Het is inderdaad ongelooflijk wat deze leveranciers van deze spyware allemaal van je weten, ondertussen vangen ze bijna geen enkele malware. Het is niet voor niets closed software.
Stop met closed software die adminrechten nodig heeft om te kunnen draaien. Je wordt namelijk bespioneerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.