Staatsgesponsorde hackergroepen maken misbruik van een recent gepatchte kwetsbaarheid in Microsoft Exchange om toegang te krijgen tot e-mailservers. Dat blijkt uit onderzoek van de Britse securityspecialist Volexity.
Het rapport van Volexity wordt tegenover ZDNet bevestigd door een bron bij het Amerikaanse ministerie voor Defensie (DOD). Geen van beide partijen deelt meer informatie over de hackergroepen achter de aanvallen, alleen dat het om zogenaamde Advanced Persistent Threats (APT’s) gaat. Dat zijn geavanceerde groepen, die doorgaans handelen met de steun van natiestaten. De DOD wou alleen kwijt dat “alle grote spelers” betrokken zijn.
Het lek in kwestie is CVE-2020-0688, een kwetsbaarheid in Exchange Server die toelaat om vanop afstand de controle over te nemen en een maand geleden tijdens de Patch Tuesday van februari door Microsoft werd gepatcht. De reus uit Redmond waarschuwde toen om de fixes zo snel mogelijk te implementeren, omdat het risico op aanvallen reëel was.
Proof-of-concepts
Twee weken bleef het stil, tot de ontdekker van de bug, Zero-Day Initiative, eind februari een technisch rapport met meer details deelde. Op basis daarvan ontwikkelden andere securityonderzoekers vervolgens proof-of-concept exploits om hun servers te testen en mitigerende maatregelen voor te bereiden. Enkele van die proof-of-concepts vonden hun weg tot op GitHub en als module voor de Metasploit-toolkit voor penetration testing.
Wanneer meer informatie rond een kwetsbaarheid publiek wordt, trekt dat helaas ook de aandacht van hackers met slechte bedoelingen. Bad Packets, gespecialiseerd in threat intelligence, stelde een dag nadat het rapport van Zero-Day Initiative werd gepubliceerd al vast dat hackergroepen waren begonnen met het scannen naar kwetsbare Exchange-servers op het internet.
Authenticatie vereist
Die scans zijn nu volgens Volexity omgezet in effectieve aanvallen. In eerste instantie wordt de bug actief misbruikt door APT-groepen, maar het is niet uitgesloten dat ook groepen met meer criminele motieven op de kar springen. Experts vermoeden evenwel dat misbruik sowieso beperkt blijft tot de meest onderlegde aanvallers, omdat de kwetsbaarheid niet eenvoudig uit te buiten is.
Om de bug te kunnen misbruiken, is eerst authenticatie vereist. Een aanvaller moet dus in het bezit zijn van geldige inloggegevens, bijvoorbeeld via phishing of een datalek. Dat houdt zogenaamde script kiddies wellicht op afstand, maar is slechts een klein obstakel voor meer georganiseerde hackers, die veel tijd spenderen aan het verzamelen van accountgegevens.
Het advies luidt om zo snel mogelijk te updaten. Alle versies van Microsoft Exchange zijn kwetsbaar, ook degene die end-of-life zijn verklaard. Voor Exchange Server 2010 tot en met 2019 zijn updates beschikbaar. Wie nog een oudere versie gebruikt, doet er op dit moment goed aan om werk te maken van een upgrade. Bedrijven waarvoor updaten geen optie is, zouden op zijn minst alle wachtwoorden van hun Exchange-accounts opnieuw moeten instellen.