Microsoft Exchange Server-hack: wat is er gebeurd en hoe u uw netwerk kunt beschermen tegen aanvallen Nu bekijken
Microsoft heeft beveiligingsupdates uitgebracht voor zijn Exchange-e-mailserversoftware op locatie die bedrijven zouden moeten accepteren.
De beveiligingsupdates zijn voor fouten in Exchange Server 2013, 2016 en 2019 – de on-premises versies van Exchange die eerder dit jaar werden gecompromitteerd door de door Peking gesteunde hackgroep die Microsoft Hafnium noemt. Vier kwetsbaarheden in on-premises Exchange-serversoftware werden uitgebuit, en nu heeft Microsoft gewaarschuwd dat een nieuw gepatchte fout — bijgehouden als CVE-2021-42321 — ook wordt aangevallen.
De Exchange-beveiligingsupdates zijn uitgebracht als onderdeel van Microsoft's November 2021 Patch Tuesday-updates voor Windows, de Edge-browser, de Office-suite en andere softwareproducten.
“De Exchange-bug CVE-2021-42321 is een” post-authenticatie-kwetsbaarheid in Exchange 2016 en 2019. Onze aanbeveling is om deze updates onmiddellijk te installeren om uw omgeving te beschermen”, zei Microsoft in een blogpost over de nieuwe Exchange-bugs.
“Deze kwetsbaarheden zijn van invloed op on-premises Microsoft Exchange Server, inclusief servers die door klanten worden gebruikt in de Exchange Hybrid-modus. Exchange Online-klanten zijn al beschermd en hoeven geen actie te ondernemen', merkt Microsoft op.
Aanvallen die gebruikers na verificatie treffen, zijn riskant omdat ze gevolgen hebben voor gebruikers die zich hebben geverifieerd met legitieme maar gestolen inloggegevens. Sommige aanvallen na authenticatie kunnen authenticatie met twee factoren onbruikbaar maken, omdat de malware zijn werk doet nadat een persoon zich heeft geverifieerd met een tweede factor.
De in China gevestigde aanvallers hadden toegang tot Exchange Servers via de vier bugs of gestolen inloggegevens, waardoor ze webshells konden maken – een opdrachtregelinterface – om op afstand te communiceren met een geïnfecteerde computer. Webshells zijn handig voor aanvallers omdat ze na een patch op een systeem kunnen overleven en handmatig moeten worden verwijderd.
Aanvallers gaan over het algemeen achter beheerdersaanmeldingen aan om malware uit te voeren, maar ze gebruiken ook verbindingen die niet worden beschermd door een VPN. Als alternatief vallen ze zelf VPN's aan.
Microsoft biedt gedetailleerde update-instructies die Exchange-beheerders moeten volgen, inclusief het bijwerken van de relevante cumulatieve updates (CU) voor Exchange Server 2013, 2016 en 2019.
Het bedrijf waarschuwt dat beheerders dit moeten doen update naar een van de ondersteunde CU's: het levert geen updates voor niet-ondersteunde CU's, die de beveiligingsupdates van november niet kunnen installeren.
Microsoft heeft bevestigd dat tweefactorauthenticatie (2fa) niet noodzakelijkerwijs bescherming biedt tegen aanvallers die misbruik maken van de nieuwe Exchange-fouten, vooral als een account al is gehackt.
“Als auth succesvol is (2FA of niet), dan kan CVE-2021-42321 misbruikt worden”, zegt Microsoft-programmamanager Nino Bilic.
“Maar inderdaad, 2FA kan authenticatie moeilijker maken, dus in dat opzicht kan het 'helpen'. Maar laten we zeggen dat als er een account is bij 2FA dat is gecompromitteerd – nou, in dat geval zou het geen verschil maken ’, voegt Bilic toe.
Om compromissen te detecteren, raadt Microsoft aan de PowerShell-query op uw Exchange-server uit te voeren om te controleren op specifieke gebeurtenissen in het gebeurtenislogboek:
Get-EventLog -LogName Application -Source “MSExchange Common” -EntryType-fout | Where-Object { $_.Message -like “*BinaryFormatter.Deserialize*” }
Beveiliging
Het beste phishing-doelwit? Je smartphone Waarom je deze beveiligingssleutel van $ 29 nodig hebt FBI: Ransomware-groepen koppelen aanvallen aan 'belangrijke financiële gebeurtenissen' Signaal onthult hoe ver de Amerikaanse wetshandhavers gaan om informatie van mensen te krijgen De 10 ergste hardware-beveiligingsfouten in 2021 Cybersecurity 101: bescherm je privacy tegen hackers , spionnen, de overheid
Enterprise Software | Beveiliging TV | Gegevensbeheer | CXO | Datacenters