Nieuws | mrt 15
Microsoft Exchange lek
Microsoft heeft maandag one-click mitigation software vrijgegeven die alle noodzakelijke maatregelen toepast om kwetsbare omgevingen te beveiligen tegen de voortdurende veel voorkomende ProxyLogon Exchange Server cyberaanvallen.
Het PowerShell-gebaseerde script, genaamd Exchange On-premises Mitigation Tool (EOMT), dient om de huidige bekende aanvallen met CVE-2021-26855 af te zwakken, de Exchange Server te scannen met de Microsoft Safety Scanner en te proberen de gedetecteerde compromissen te verhelpen.
"Deze nieuwe tool is ontworpen als een tussentijdse oplossing voor klanten die niet bekend zijn met het patch/update proces of die de on-premises Exchange beveiligingsupdate nog niet hebben toegepast," aldus Microsoft.
Gebruik deze One-Click Mitigation Tool van Microsoft om Exchange-aanvallen te voorkomen
De ontwikkeling komt in het spoor van willekeurige aanvallen op ongepatchte Exchange Servers over de hele wereld door meer dan tien geavanceerde actoren, om backdoors, coin miners en ransomware te plaatsen.
Op basis van informatie van RiskIQ zijn per 12 maart 317.269 van de 400.000 on-premises Exchange Servers wereldwijd gepatcht. Waarbij de VS, Duitsland, Groot-Brittannië, Frankrijk en Italië de landen met kwetsbare servers aanvoeren.
Daarnaast heeft het U.S. Cybersecurity and Infrastructure Security Agency (CISA) zijn guidance bijgewerkt met details over maar liefst zeven varianten van de China Chopper web shell die door kwaadwillende actoren worden gebruikt.
De web shell, die slechts vier kilobyte in beslag neemt, is al bijna tien jaar lang een populair hulpmiddel voor cyber attackers.
Terwijl de omvang van de hacking wordt geëvalueerd, onderzoekt Microsoft naar verluidt ook hoe de "beperkte en gerichte" aanvallen die begin januari werden ontdekt, snel konden uitgroeien tot een grootschalige exploitatiecampagne, waardoor het de security fixes een week voor de geplande datum moest vrijgeven.
The Wall Street Journal meldde vrijdag dat onderzoekers zich richten op de vraag of een partner van Microsoft, met wie het bedrijf informatie over de kwetsbaarheden deelde via zijn Microsoft Active Protections Program (MAPP), deze per ongeluk of opzettelijk heeft gelekt naar andere groepen.
Er wordt ook beweerd dat sommige tools die bij de "tweede golf" aanvallen eind februari zijn gebruikt, lijken op proof-of-concept aanvalscode die Microsoft op 23 februari met antivirusbedrijven en andere beveiligingspartners heeft gedeeld. Waardoor het mogelijk is dat belanghebbenden de hand hebben weten te leggen op privégegevens die Microsoft met zijn beveiligingspartners heeft gedeeld.
De andere theorie is dat de hackers onafhankelijk van elkaar dezelfde reeks kwetsbaarheden hebben ontdekt, die vervolgens zijn misbruikt om stiekem netwerken te verkennen en mailboxen te stelen. Dit alvorens de aanvallen op te voeren toen de hackers erachter kwamen dat Microsoft bezig was met een patch.
"Dit is de tweede keer in de afgelopen vier maanden dat hackers cyberaanvallen hebben uitgevoerd met het potentieel om bedrijven en organisaties van alle groottes te treffen," aldus Microsoft. "Hoewel dit begon als een aanval van een land, worden de kwetsbaarheden misbruikt door andere criminele organisaties, waaronder nieuwe ransomware aanvallen, met de mogelijkheid voor andere kwaadaardige activiteiten."