De massa-uitbuiting gericht op 'Microsoft Exchange-e-mailservers' is in minder dan een week uitgebreid en omvat zowel aanvallen van statelijke actoren als cybercriminelen.

De aanvallen die voor het eerst werden onthuld vorige week door Microsoft houden verband met vier kwetsbaarheden die beveiligingsonderzoekers ProxyLogon benoemde. De vier bugs kunnen aan elkaar worden geketend door aanvallers om op Exchange-servers te verifiëren als een admin-gebruiker en vervolgens kwaadaardige programma's te installeren.

Mysterieuze Exchange-kwetsbaarheden

Volgens de ProxyLogon-website werden vorig jaar details over twee van de vier bugs ontdekt.  Begin januari werd dit gerapporteerd aan Microsoft door Orange Tsai, een beveiligingsonderzoeker bij beveiligingsbedrijf DEVCORE. Microsoft was aanvankelijk van plan om de twee problemen op te lossen tijdens de Patch Tuesday van maart 2021, maar parallel met het eerste bugrapport begonnen twee beveiligingsbedrijven (Volexity en Dubex) aanvallen op hun klanten te detecteren met behulp van mysterieuze Exchange-kwetsbaarheden die ze vervolgens aan Microsoft rapporteerden.

Toen de maker van het besturingssysteem de gemelde aanvallen verbond met de ProxyLogon-bugrapporten, reageerde Microsoft door afgelopen dinsdag noodbeveiligingspatches voor Exchange-servers uit te brengen. Bedrijven over de hele wereld werden aangespoord om hun lokale e-mailservers zo snel mogelijk te patchen.

Eerder zei Microsoft dat de eerste aanvallen waarbij deze vier kwetsbaarheden werden misbruikt, werden uitgevoerd door een nieuwe hackers groep die het bedrijf benoemde als 'Hafnium'. Een groep die het bedrijf formeel verbonden heeft met de Chinese overheid, op basis van eerder waargenomen activiteiten.

Andere bedreigingsactoren sluiten zich aan

Maar toen het nieuws over de aanslagen en de ernst van de vier kwetsbaarheden zich begon te verspreiden, namen ook de aanvallen toe.

Op vrijdag 5 maart kwamen verschillende beveiligingsbedrijven naar buiten om niet alleen Hafnium-aanvallen te bevestigen, maar ook andere aanvallen op de Exchange-servers met exploitatiepogingen die voortkwamen uit afzonderlijke activiteiten van hackersgroepen.

Zo melde ESET dat er aanvallen gedetecteerd werden van hackersgroepen zoals LuckyMouse, Tick, en Calypso APTs, maar ook “een paar nog-niet-geclassificeerde hackersgroeperingen.”

FireEye meldde ook aanvallen te hebben gezien van drie verschillende clusters die het bedrijf volgde als UNC2639, UNC2640 en UNC2643.

Verder meldde beveiligingsbedrijf Red Canary ook activiteiten te hebben gezien die afkomstig waren uit de cybercriminaliteit sector.  Eén groep misbruikte de Exchange-fouten om webshells op geïnfecteerde servers te installeren en vervolgens de DLTminer-malware te installeren.

Aanvallen van meerdere actoren werden ook bevestigd door Microsoft in een update van de oorspronkelijke Hafnium-blogpost.

Maar, hoewel de aanvallen begin vorige week beperkt waren tot één groep, bevestigden rapporten van Wired en KrebsOnSecurity op vrijdag dat het steeds groter wordende aantal aanvallers willekeurig massaal uitbuitte tegen elke Exchange-server die zonder patch op het internet was aangesloten. Waarbij het aantal gehackte servers wordt geschat op 'astronomisch' en tienduizenden, volgens bronnen van de Amerikaanse overheid.

Inbraken over de hele wereld gemeld

En de aanvallen waren niet alleen gericht op Exchange-e-mailservers bij Amerikaanse bedrijven. In de afgelopen week hebben veiligheidsagentschappen in Nederland , Tsjechië en Noorwegen gemeld dat ze reageerden op aanhoudende Exchange-inbraken in hun land.

Slachtoffers die tot dusverre hebben toegegeven slachtoffer zijn geworden van de Exchange aanval zijn onder meer de Tsjechische minister van Arbeid en Sociale Zaken, de postkantoren van Praag en de Europese Bankautoriteit .

Andere landen, zoals Australië, het Verenigd Koninkrijk, Duitsland, Roemenië, Oostenrijk, Zweden, Finland, Spanje, Nieuw-Zeeland, Frankrijk, Singapore, Hongarije, Ierland, Canada en Italië, hebben nationale veiligheidswaarschuwingen vrijgegeven en waarschuwen bedrijven en overheidsorganisaties om lokale Exchange-servers zo snel mogelijk te patchen.

Hoewel deze landen (nog) geen incidenten hebben gemeld, zien security deskundigen aanvallen over de hele wereld. Kaspersky melde een piek van aanvallen op Duitsland, Malwarebytes rapportage ProxyLogon-gerelateerde web shells op ten minste 1000 klantsystemen en HuntressLabs zien dat minstens 1.500 systemen geïnfecteerd zijn.

De eerste aanvallen werden uitgevoerd door dreigingsactoren van nationale staten die gevoelige communicatie van webservers probeerden te exfiltreren. Maar het feit dat cybercrime groeperingen  er nu bij betrokken raken, betekent ook dat veel van de webshells die op Exchange-servers staan, zijn misbruikt. We zullen binnenkort worden geconfronteerd met massale gegevensdiefstal , afpersingen en zelfs ransomwareaanvallen.

Veel gratis tools beschikbaar

De reactie van de cybersecurity deskundigen was het afgelopen weekend echter buitengewoon nuttig voor alle betrokkenen bij het patchen van Exchange-servers.

Naast het uitbrengen van patches vorige week, heeft Microsoft ook indicatoren van compromissen in verband met bekende aanvallen gevolgd en vrijgegeven, zodat bedrijven verdediging kunnen voorbereiden en logboeken kunnen doorzoeken.

Bovendien bracht de maker van het besturingssysteem ook een PowerShell-script uit om Exchange-servers te doorzoeken op de aanwezigheid van een inbraak en bekende webshell-indicatoren, en een soortgelijk script werd in het weekend ook vrijgegeven door het CERT-Latvia-team.

Bovendien heeft Microsoft dit weekend ook de Microsoft Support Emergency Response Tool (MSERT) bijgewerkt om tekenen van inbraak op servers te detecteren waarop Microsoft Defender niet is geïnstalleerd en die ProxyLogon-indicatoren niet automatisch zouden kunnen detecteren.

Gisteren heeft PwnDefend ook een lijst vrijgegeven met IP-adressen die zijn gekoppeld aan servers die de Exchange-e-mailservers scannen en exploiteren in de afgelopen weken.

De methode van deze aanvallen en ProxyLogon-exploits was geen verrassing, aangezien de meeste slechte bugs uiteindelijk worden uitgebuit. De snelheid waarmee de aanvallen overgingen van statelijke actoren naar cybercrime groeperingen was echter wel verrassend, vooral omdat er nooit een openbare gedetailleerde bugbeschrijving of proof-of-concept-code openbaar werd gemaakt.

Dit suggereert dat de ProxyLogon-bugs gemakkelijk te herkennen waren met behulp van een basistechniek die bekend staat als patch-diffing, en de kwetsbaarheid is waarschijnlijk ook heel gemakkelijk te bewapenen, zelfs voor aanvallers met weinig technische expertise.

Al met al was het in december moeilijk te geloven dat een ander cybersecurity probleem de schade had kunnen doen vergeten die is veroorzaakt door de supply chain-aanval van SolarWinds, maar we vergeten soms hoe verweven het technische ecosysteem werkelijk is en dat die er zijn voor veel meer populaire producten dan de SolarWinds Orion-app.