Microsoft lost vier zero-days op in Exchange Server

Microsoft maakt bekend dat Chinese hackers vier zero-day-kwetsbaarheden in Exchange Server gebruiken om data te stelen van juridische bedrijven, onderzoekers naar infectieziekten en partijen die samenwerken met het Amerikaanse leger. 

Er is een patch beschikbaar om de fouten op te lossen. Microsoft adviseert al zijn klanten om de update zo snel mogelijk te installeren. On-premises en hosted Exchange versie 2013 tot 2019 zijn kwetsbaar en moeten een update krijgen. 

Volgens Tom Burt, Microsoft vice president voor customer security en trust, opereren de hackers vanuit China via servers in de Verenigde Staten. Hij beweert dat het gaat om ‘uiterst bekwame en verfijnde spelers’ en dat ze steun krijgen van de staat.

Burt legt uit dat de hackers hun aanval in drie stappen uitvoeren:

  1. De aanvallers verkrijgen toegang tot Exchange Server via een gestolen wachtwoord of door zero-day kwetsbaarheden te gebruiken en zich te vermommen als toegestane gebruiker
  2. Ze nemen de controle over de Exchange Server over via een web shell
  3. De hackers gebruiken hun toegang om interne data te exfiltreren

Om deze aanval uit te voeren, hebben de hackers vier zero-days waar ze gebruik van kunnen maken.

Actie vereist

Microsoft raadt Exchange Server gebruikers aan om zo snel mogelijk de patch te installeren. Wanneer je de update gaat installeren, is het belangrijk dat je bent ingelogd als beheerder. Anders worden bepaalde bestanden mogelijk niet goed geïnstalleerd. 

Mocht het niet mogelijk zijn om meteen een update te installeren, zijn er een aantal andere acties die je kunt nemen. “Voor de initiële aanval moet een onvertrouwde verbinding worden gemaakt met Exchange server port 443. Je kunt je hier tegen beschermen door onbetrouwbare verbindingen te beperken of door een VPN op te zetten waarmee je de Exchange server afscheidt voor externe toegang”, schrijft Microsoft in zijn advies. 

Realiseer je wel dat het blokkeren van externe toegang enkel de eerste stap van het proces tegenhoudt. Als hackers al toegang hebben, kunnen ze hun aanval alsnog voortzetten.

nieuwsbrief

Abonneer je gratis op ITdaily !
  • This field is for validation purposes and should be left unchanged.
terug naar home