Een paar dagen geleden rolde Microsoft een security patch uit voor een zero-day in de Exchange Server die actief werd misbruikt. In plaats van dat de patch de hackers tegenhield, hebben ze hun aanval juist opgeschaald.
De zero-days in Exchange Server worden aangevallen door een groep die Hafnium genoemd wordt en wordt gesponsord door de Chinese overheid. Via de Exchange Server infiltreerde de groep wereldwijd honderdduizenden organisaties, waaronder politieafdelingen, ziekenhuizen, lokale overheden, banken, nonprofits en telecomproviders.
“Vrijwel iedereen die Outlook Web Acces gebruikt en geen patch heeft geïnstalleerd, is aangetast door de zero-day aanval”, vertelde een bron aan Krebs. Elk uur worden er verspreid over de hele wereld duizenden servers aangetast. De groep lijkt de aanvallen steeds meer op te schalen om nog zoveel mogelijk servers te hacken voordat ze de patch installeren.
Hackers installeren web shells op aangetaste servers
Microsoft werd geattendeerd op de zero-days in Exchange server en het actieve misbruik ervan door beveiligingsbedrijf Volexity. Nu waarschuwt Volexity dat zelfs organisaties die de patch installeerden op de dag dat hij uitkwam mogelijk zijn aangetast. De patch lost namelijk enkel de kwetsbaarheden in Exchange Server op en haalt niet de backdoor weg die de hackgroep in het systeem plaatst.
De meeste infecties worden nog niet actief uitgebuit. Op dit moment probeert de hackersgroep zoveel mogelijk web shells te installeren op de servers, zodat ze op een later moment het beheer van de servers kunnen overnemen. Mogelijk kunnen ze dan nieuwe malware of ransomware te installeren.
Kleine en middelgrote organisaties zijn doelwit
De Hafnium aanvallen lijken in omvang wellicht wat op de SolarWinds-aanvallen die een paar maanden geleden ontdekt werden. Beide incidenten staan echter los van elkaar, zo laat Microsoft weten. Waar de SolarWinds aanval gericht was op overheidsinstanties en grote tech-bedrijven, heeft Hafnium juist zijn zinnen gezet om kleine en middelgrote organisaties.
Microsoft geeft aan nauw samen te werken met het US Cybersecurity & Infrastructure Security Agency, samen met andere overheidsinstanties en beveiligingsbedrijven. Op deze manier wil Microsoft zijn klanten meer inzicht in het onderzoek bieden en ze helpen de schade van de aanvallen te beperken.
Als je gebruik maakt van een zelf gehoste Exchange Server, is het belangrijk om zo snel mogelijk de patch te installeren. Om te checken of je kwetsbaar bent voor de Hafnium aanvallen kun je gebruik maken van dit script dat het Microsoft team heeft gepubliceerd op GitHub.