Wat doe ik tegen hafnium en waar moet ik op letten?

Gepubliceerd op 17 maart 2021 Leestijd : 3 minuten

Een ernstig lek in Exchange, de veelgebruikte mailsoftware van Microsoft, zorgt wereldwijd voor problemen. Van de kwetsbaarheid, vermoedelijk eerst door Chinese hackers misbruikt, is nu ook misbruik gemaakt door andere cybercriminelen. Het treft duizenden bedrijven en instellingen, ook in Nederland.

Het lek geeft hackers volledige toegang tot en controle over alle mail en gebruikersdata op de server. Het Nationaal Cybersecurity Center (NCSC) waarschuwde maandag dat 40 procent van de Exchange-servers in Nederland kwetsbaar is.

Wat is hafnium precies?

Hafnium is de naam van een Chinese groep die zich richt op het uitbuiten van een aantal vulnerabilities in Microsoft Exchange 2013, 2016 en 2019. Door misbruik te maken van CVE-2021-26857, CVE-2021-26858 en CVE-2021-26855 verkrijgen ze toegang tot de exchange omgeving en laten ze in veel gevallen een web shell achter om op een later moment weer toegang te krijgen.

De aanval is zo succesvol doordat hackers meerdere kwetsbaarheden aan elkaar knopen, initieel maken de ongeautoriseerde aanvallers misbruik van CVE-2021-26855 door een HTTP request te sturen naar de kwetsbare exchange server om zich vervolgens succesvol te authentiseren.

Middels een SSRF (server-side request forgery) kan de aanvaller vervolgens de ECP (Exchange Control Panel) misbruiken om gevoelige informatie te achterhalen en toegang te verkrijgen tot mailboxen.

CVE-2021-26858 en CVE-2021-27065 kunnen vervolgens worden gebruikt voor remote code execution (RCE) en het droppen van een web shell en CVE-2021-26857 kan misbruikt worden om SYSTEM rechten te verkrijgen.

Ben ik veilig na het patchen?

Patches stoppen aanvallers om toegang te krijgen tot het systeem maar zorgt er niet voor dat eventuele aanvallers die al toegang hebben worden verwijderd. Aanvallers die toegang hebben kunnen de toegang misbruiken om data te stelen, sabotage of het verspreiden van ransomware.

Tijdlijn

De eerst exploitatie die is aangetroffen gaat terug naar november 2020 en werd gedecteerd op 10 december 2020 door DEVCORE. Microsoft erkende de lekken op 5 januari 2021 en is toen begonnen met het remediation proces. 

Widespread scanning en exploitation begon pas rond 27 februari en de eerste publieke disclosures vonden plaatst op 2 maart 2021. Eerste publiekelijke PoCs waren beschikbaar op 9 maart 2021.

Welke stappen moet ik ondernemen?

  • Patchen
    • Maak een backup van de exchange en IIS-logs.
    • Installeer de patches van microsoft, dit beschermt tegen toekomstige aanvallen.
    • Zorg ervoor dat er endpoint protection is geinstalleerd met advanced threath protection (ATP) op alle servers en werkstations en dat deze is voorzien van de laatste updates.
  • Stel vast of er inbraak in geweest
    • Stel vast hoeveel exchange servers er in de organisatie draaien en neem ook de “legacy” servers mee, ook als u in een migratie traject zit naar bijv. Microsoft 365.
    • Download en run de test-ProxyLogin.ps1, dit script van microsoft stelt vast of er mogelijk spraken is van inbreuk.
    • Doorzoek de server op web shells of andere verdachte .aspx files.
    • Doorzoek de OAB-configuratie file.
    • Monitor draaiende processen en uitgevoerd command executions.
    • Onderzoek w3wp.exe op verdachte child processen zoals csc.exe, cmd.exe, powershell.exe etc.
  • Indien er (mogelijk) inbraak is geweest, schakel hulp in.
    • Indien er inbraak is gesignaleerd dient het incident response scenario gevolgd te worden.
    • Verwijder eventuele web Shells en verander wachtwoorden
    • Monitor de server op verdachte activiteiten.
    • Stel de impact en tijdlijn van exposure vast, neem hierbij de tijd van “initial access” en patch datum in acht om te bepalen hoelang een aanvaller toegang tot het systeem heeft gehad.

Wilt u snel laten controleren of uw server kwetsbaar is of wilt u controleren of er reeds verdachte activiteiten zijn geweest? Vraag nu onze hafnium check aan.