Zo werkt de hack
Microsoft heeft de hack uitgelegd in een blogpost. In totaal gaat het om vier kwetsbaarheden: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 en CVE-2021-27065. De aanvalsmethode, die Microsoft Hafnium noemt, maakt gebruik van een combinatie van deze vier kwetsbaarheden om binnen te dringen op het netwerk waar de Exchange-server op is aangesloten. Door de bovengenoemde kwetsbaarheden uit te buiten, kregen de hackers volledige toegang tot een Exchange-server. Met die toegang bouwden de hackers een zogenaamde web shell, waarmee de aangetaste server op afstand kon worden bestuurd. Aan de hand van die volledige toegang konden de hackers vervolgens gegevens vanaf het netwerk van een organisatie stelen.
Op wie heeft HAFNIUM het gemunt?
De overheidsorganisaties en grote bedrijven lagen eerst meer voor de hand, maar veel van deze organisaties maken geen gebruik meer van een zelfbeheerde on-premise Exchange server en zijn overgestapt naar een alternatief in de cloud, zoals Microsoft 365.
Exchange Server wordt nog wel veel gebruikt bij kleinere bedrijven. Wereldwijd maken honderdduizenden organisaties gebruik van Exchange, en alle servers die simpelweg als mailserver zijn aangesloten op het internet en nog niet gepatcht zijn, zijn kwetsbaar.
Meestal hebben dergelijke organisaties niet genoeg capaciteit om bovenop de ontwikkelingen in cyberbeveiliging te zitten. Daar maken aanvallers nu gretig gebruik van.
Wat nu?
De eerste stap om ervoor te zorgen dat je geen kans loopt om slachtoffer te worden van ransomware-aanval, is het belang van onmiddellijk de patch te installeren die Microsoft op 2 maart heeft uitgebracht. Met die patch zijn de kwetsbaarheden opgelost en zijn nieuwe aanvallen niet meer mogelijk. De patch kan via Windows Update worden geïnstalleerd, maar de kwetsbaarheden kunnen ook direct opgelost worden met een script dat Microsoft op GitHub heeft gepubliceerd.
Lukt het niet om op korte termijn de patch te installeren, dan is het van belang om zo snel mogelijk de server af te sluiten van het internet. Een andere oplossing is alleen vertrouwde verbindingen met de server toestaan. Het oplossen van de kwetsbaarheden in Exchange sluit echter niet uit dat je alsnog geraakt wordt door een ransomware-aanval. Als de aanvaller er al in is geslaagd om binnen te dringen en de webshell te installeren, dan heeft hij een vrijuit bruikbare backdoor tot je systeem. Die backdoor wordt niet verwijderd door de patch.
Het verwijderen van dergelijke backdoors is uiteindelijk de taak van antivirussoftware op je systeem. Microsoft heeft een lijst met indicators of compromise (IoC’s) gepubliceerd die antivirusbedrijven kunnen gebruiken om mogelijke aanvallers op te sporen en uit te schakelen. Zorg er dus voor dat je antivirussoftware up-to-date is en je er zeker van bent dat die onlangs nog een virusscan heeft uitgevoerd. Het is overigens niet zeker dat Microsoft alle IoC’s heeft gevonden, dus blijf alert op mogelijk afwijkend gedrag van je server.
Ook is het van groot belang om een back-up van je belangrijke software te hebben waar een aangetaste server geen directe toegang tot heeft. Word je dan onverhoopt toch geraakt door ransomware, is de urgentie om te betalen lager.
Zorg voor goede cyberbeveiliging
De omvang van de Exchange-hack onderstreept nogmaals het belang om altijd goed op je hoede te zijn op het gebied van cyberbeveiliging. Alhoewel gebruikers van Exchange Server weinig hadden kunnen doen om een directe aanval te vermijden, zijn er tal van maatregelen waarmee de impact geminimaliseerd kan worden.
In dit geval is vooral het belang van het snel installeren van updates en het opzetten van een goed back-upbeleid overduidelijk. Ook met een slimme indeling van het bedrijfsnetwerk kan worden voorkomen dat één gekraakte server je hele bedrijf platlegt.
De grootste winst is echter te behalen in het creëren van bewustzijn onder de kleinere organisaties die het wat minder nauw nemen met hun beveiliging. In dit soort gevallen kan een dergelijke kostenbesparing zomaar duizenden euro’s schelen.
Updates:
16-03: NCSC: minimaal 1200 Microsoft Exchange-servers in NL zijn nog niet geüpdatet
Exchange Server-beveiligingsupdates voor oudere cumulatieve updates van Exchange Server