Audit: Hafnium (ProxyLogon)

Een ernstig lek in Exchange, de veelgebruikte mailsoftware van Microsoft, zorgt wereldwijd voor problemen

Een ernstig lek in Exchange, de veelgebruikte mailsoftware van Microsoft, zorgt wereldwijd voor problemen. Van de kwetsbaarheid, vermoedelijk eerst door Chinese hackers misbruikt, is nu ook misbruik gemaakt door andere cybercriminelen. Het treft duizenden bedrijven en instellingen, ook in Nederland. Het lek geeft hackers volledige toegang tot en controle over alle mail en gebruikersdata op de server. Het Nationaal Cybersecurity Center (NCSC) waarschuwt dat 40 procent van de Exchange-servers in Nederland kwetsbaar is.

Wat is hafnium?

Hafnium is de naam van een Chinese groep die zich richt op het uitbuiten van een aantal vulnerabilities in Microsoft Exchange 2013, 2016 en 2019. Door misbruik te maken van CVE-2021-26857, CVE-2021-26858 en CVE-2021-26855 verkrijgen ze toegang tot de exchange omgeving en laten ze in veel gevallen een web shell achter om op een later moment weer toegang te krijgen.

De aanval is zo succesvol doordat hackers meerdere kwetsbaarheden aan elkaar knopen. Initieel maken de ongeautoriseerde aanvallers misbruik van CVE-2021-26855 door een HTTP request te sturen naar de kwetsbare exchange server om zich vervolgens succesvol te authentiseren.

Waaruit bestaat een Hafnium audit?

Tijdens deze audit controleren wij op de volgende punten:

  1. Wij controleren op de meest voorkomende IOC’s (Indicators op compromise)
  2. Wij voeren een vulnerability scan uit vanaf extern op het IP-adres van de exchange server
  3. We installeren een agent en monitoren de server 1 maand lang op verdachte activiteiten
  4. Wij voeren met de agent een interne vulnerability scan uit op de exchange server
  5. U krijgt duidelijke rapportages met remediations.
  6. Afhankelijk van de uitkomst van het onderzoek geven we advies over de eventuele vervolgstappen.
Audit: Hafnium (ProxyLogon)
Audit: Hafnium (ProxyLogon)

Welke stappen moeten er worden ondernomen tegen Hafnium?

Patchen

  • Maak een back-up van de exchange en IIS-logs.
  • Installeer de patches van Microsoft, dit beschermt tegen toekomstige aanvallen.
  • Zorg ervoor dat er endpoint protection is geïnstalleerd met advanced threath protection (ATP) op alle servers en werkstations en dat deze is voorzien van de laatste updates.

Stel vast of er inbraak in geweest

  • Stel vast hoeveel exchange servers er in de organisatie draaien en neem ook de “legacy” servers mee, ook als u in een migratie traject zit naar bijv. Microsoft 365.
  • Download en run de test-ProxyLogin.ps1, dit script van Microsoft stelt vast of er mogelijk spraken is van inbreuk.
  • Doorzoek de server op web shells of andere verdachte .aspx files.
  • Doorzoek de OAB-configuratie file.
  • Monitor draaiende processen en uitgevoerd command executions.
  • Onderzoek w3wp.exe op verdachte child processen zoals csc.exe, cmd.exe, powershell.exe etc.

Indien er (mogelijk) inbraak is geweest, schakel hulp in.

  • Indien er inbraak is gesignaleerd dient het incident response scenario gevolgd te worden.
  • Verwijder eventuele web Shells en verander wachtwoorden
  • Monitor de server op verdachte activiteiten.
  • Stel de impact en tijdlijn van exposure vast, neem hierbij de tijd van “initial access” en patch datum in acht om te bepalen hoelang een aanvaller toegang tot het systeem heeft gehad.

De kosten van een Hafnium audit

De prijs is afhankelijk van de scope, het type audit, de grote van het netwerk, aantal hosts, vlans en subnets. De prijs bij een beperkte scope is € 999,- excl. BTW en zal ongeveer 1 werkdag in beslag nemen.

Wij kunnen niet wachten u óók te helpen!