Meerdere kritieke kwetsbaarheden voor Microsoft Exchange
Niet-gerelateerd aan bekende aanvallen, maar toch gevaarlijk genoeg om te patchen
Bronnen
Microsoft Blog - https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
IOCs en meer achtergrondinformatie (Geüpdatet door Microsoft op 8 maart 2021) - https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
Frequently Asked Questions (Geüpdatet door Microsoft op 8 maart 2021) - https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901
Extensive Incident Response guide (Updated by Microsoft on 16 March 2021) : https://msrc-blog.microsoft.com/2021/03/16/guidance-for-responders-investigating-and-remediating-on-premises-exchange-server-vulnerabilities/
Risico’s
- Microsoft heeft meerdere 0-day-exploits ontdekt die worden gebruikt om on-premise-versies van de Microsoft Exchange Server aan te vallen.
- Bij de waargenomen aanvallen gebruikte de aanvaller deze kwetsbaarheden om toegang te krijgen tot on-premise Exchange-servers, waardoor hij toegang tot de e-mailaccounts kreeg en aanvullende malware kon installeren om langetermijntoegang te verkrijgen tot de omgevingen van de slachtoffers. Dit kon allemaal zonder dat er authenticatie nodig was.
- UPDATE 16/03/2021: Het is vastgesteld dat kwaadwilligen web shells installeren in kwetsbare systemen.
- Organisaties en bedrijven die geen actie ondernemen kunnen het slachtoffer worden van ransomware of data-exfiltratie.
Beschrijving
Microsoft heeft verschillende beveiligingsupdates voor de Microsoft Exchange Server uitgebracht om kwetsbaarheden te verhelpen die bij beperkte en gerichte aanvallen worden gebruikt.
Het rapport vermeldt 4 van de 7 gepatchte kwetsbaarheden die bij deze aanvallen worden gebruikt.
CVE-2021-26855 is een server-side request forgery (SSRF)-kwetsbaarheid in Exchange waardoor de aanvaller willekeurige HTTP-verzoeken kan verzenden en zich kan authenticeren als Exchange-server.
CVE-2021-26857 is een onveilige deserialisatiekwetsbaarheid in de Unified Messaging-service. Onveilige deserialisatie betekent dat niet-vertrouwde, door de gebruiker te controleren gegevens worden gedeserialiseerd door een programma. Dit vereist admin-toestemming of een andere te exploiteren kwetsbaarheid.
CVE-2021-26858 & CVE-2021-27065 zijn post-authenticatie arbitrary file write-kwetsbaarheden in Exchange. Authenticatie is mogelijk door misbruik te maken van de CVE-2021-26855 SSRF-kwetsbaarheid of door de credentials van een legitieme admin te compromitteren.
De volgende CVE's zijn niet gerelateerd aan de aanvallen, maar moeten ook worden gepatcht: CVE-2021-26412, CVE-2021-26854 en CVE-2021-27078.
UPDATE 16/03/2021: Het is belangrijk om een onderscheid te maken tussen de “on-premises”, “hybride” en “online” opstellingen van Microsoft Exchange. On-premises software wil zeggen dat de software in het bedrijf zelf geïnstalleerd is, op de computers en servers van het bedrijf. Hybride wil zeggen dat de software zowel in het bedrijf geïnstalleerd is, als online (in de cloud). De Hafnium cyberaanval heeft op deze twee opstellingen een invloed. Er is geen impact op bedrijven van wie de Exchange diensten enkel online (in de cloud) zitten.
Mitigatie
Deze kwetsbaarheden worden gebruikt bij een aanval waarbij gebruik wordt gemaakt van een hele reeks kwetsbaarheden. De eerste aanval vereist de mogelijkheid om een onveilige verbinding tot stand te brengen met poort 443 op de Exchange-server.
Dit kan worden voorkomen door onbeveiligde verbindingen te voorkomen door een VPN in te stellen om de Exchange-server te scheiden van externe toegang. Het gebruik van deze beperking biedt alleen bescherming tegen het eerste deel van de aanval.
Andere kwetsbaarheden kunnen worden geactiveerd als een kwaadwillende speler die toegang heeft tot een kwaadwillende beheerder te overtuigen van een kwaadaardig bestand uit te voeren.
UPDATE op 6 maart 2021 : https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/
Op 8 maart 2021 heeft Microsoft een update strategie gepubliceerd om kwetsbare machines tijdelijk te beschermen tot u de mogelijkheid heeft om te updaten naar de laatst ondersteunde CU om daarna de nodige SU's te installeren.
Aanbevolen acties
CERT.be raadt aan om voorrang te geven aan het installeren van updates (Geüpdatet op 8 maart 2021) op Exchange-servers die van buitenaf toegankelijk zijn. Alle betrokken Exchange-servers moeten worden bijgewerkt met de hoogste prioriteit.
Nadat de fixes zijn aangebracht, kunnen Exchange-beheerders een Health Checker-script uitvoeren om de status van elke Exchange-server te bepalen.
Vervolgens alle web shells verwijderen.
Overzicht van alle te volgen stappen: Multiple Security Updates Released for Exchange Server – updated March 12, 2021 – Microsoft Security Response Center
Update 16/03/2021 : Microsoft heeft een tool gelanceerd om zaken te automatiseren voor klanten met weinig expertise. One-Click Microsoft Exchange On-Premises Mitigation Tool – March 2021 – Microsoft Security Response Center
Bedrijven en organisaties die moeilijkheden ondervinden bij deze stappen raden wij aan om een ICT partner of externe expert in te schakelen om deze acties uit te voeren.
Controleer uw omgeving op tekenen van compromissen
- Analyseer de logboeken van de Exchange-server om Indicators of Compromise (IOC) te vinden.
- Scan hosts voor IOC's zoals webshell-hashes, bekende paden en bestandsnamen, evenals LSASS-procesgeheugendumps .
Voor meer informatie over het beheren van uw omgeving en het gebruik van IOC's : https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ (Geüpdatet door Microsoft op 8 maart 2021).
Voor meer informatie over het onderzoeken en remediëren (Geüpdatet door Microsoft op 16 maart 2021): https://msrc-blog.microsoft.com/2021/03/16/guidance-for-responders-investigating-and-remediating-on-premises-exchange-server-vulnerabilities/
Referenties
Webcast van Microsoft: https://aka.ms/EMEAExchangeOOBMarch2021PM
Dia's van deze webcast: https://aka.ms/ExOOB
Update van de slides op 9 maart 2021:
Advanced hunting queries
- Microsoft Defender voor Endpoint: https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/
- Azur Sentinel: https://github.com/Azure/Azure-Sentinel/tree/master/Detections/MultipleDataSources/