Hoe zat dat nu met die Microsoft Exchange hack door Hafnium?

Leestijd: 3 minuten

Je zag het ongetwijfeld langskomen in het nieuws of verschijnen op sociale media: een Chinees hackerscollectief had het op kwetsbaarheden in de Microsoft Exchange Servers (de mailservers van Microsoft) gemunt. Maar wat is er nu precies gebeurd? Wat zijn de gevolgen? Onze security-experts leggen het uit.

Microsoft Exchange zero-day kwetsbaarheden

Begin maart releasete Microsoft patches voor de Microsoft Exchange Server software, die actief getarget werden door hackers. Aanvallers konden toegang krijgen tot e-mails en zelfs hele bedrijfsnetwerken binnendringen zonder zich daarvoor te moeten aanmelden. Het Chinese hackerscollectief achter deze aanvallen staat bekend als Hafnium.

Konden die hackers dan zomaar binnendringen? Nee, daarvoor maakten ze gebruik van 4 zeroday-kwetsbaarheden in de Microsoft Exchange server. Even een technische uitstap:

  • Kwetsbaarheid CVE-2021-26855: Server-side Request Forgery die hackers de mogelijkheid gaf om HTTP-requests te sturen en toegang te krijgen tot de Exchange Server.
  • Kwetsbaarheid CVE-2021-26857: gaf hackers de mogelijkheid om code te draaien op een Exchange Server. Hiervoor moesten de aanvallers zich toegang verschaffen via de eerste kwetsbaarheid.
  • Kwetsbaarheden CVE-2021-26858 en CVE-2021-27065: gaf hackers de mogelijkheid om bestanden te schrijven naar om het even welke plek op de Exchange Server.

Hoe ging Hafnium te werk?

Volgens Microsoft verschaften de hackers zich eerst toegang tot on-premise Exchange-servers, door de kwetsbaarheden te misbruiken of door gestolen wachtwoorden te gebruiken. Vervolgens werden web shells op de Exchange-servers opgezet, zodat hackers vanop afstand het beheer van de server konden overnemen. Daardoor kon Hafnium gegevens stelen (zoals mails of adresboeken) en malware plaatsen.

Wie werd getroffen?

De Microsoft Exchange Servers omvatten zowel het mailsysteem als de agenda van Microsoft, en worden wereldwijd gebruikt door kleine en grote bedrijven. De kans is groot dat jij er ook gebruik van maakt.

On-premise Exchange Servers 2013, 2016 en 2019 werden getroffen, maar Exchange Online niet. Exchange 2010 werd enkel getroffen door kwetsbaarheid CVE-2021-26857. Vermoedelijk werden wereldwijd honderdduizenden organisaties slachtoffer – vaak kleinere bedrijven die nog met on-premise mailservers werken of over beperkte security beschikken.

Wat zijn de gevolgen?

Niet alleen werden (bedrijfs)gegevens buitgemaakt en op de getroffen toestellen ransomware geïnstalleerd, maar het is ook mogelijk dat Hafnium de gestolen gegevens zal verkopen.

Hoewel er vaak parallellen worden getrokken met de SolarWinds-hack, waarbij in 2020 een virus verspreid werd over 18.000 privé- en overheidsnetwerken in de VS, is de grote schaal en willekeurigheid waarmee de Microsoft Exchange Server-aanvallen toch van een ander kaliber. Het lijkt er immers op dat Hafnium zoveel mogelijk slachtoffers wou maken, en niet noodzakelijk gaf om wie de slachtoffers waren of wat voor waardevolle data er kon buitgemaakt worden. Omwille van de grote schaal waarop de hackers actief waren en de informatie die kon gestolen worden, werd in de VS alvast op presidentieel bevel een internationale task force opgezet om de hack te onderzoeken.

Wat zijn de maatregelen?

Het is aangeraden om zo snel mogelijk te updaten. Natuurlijk is het mogelijk dat je reeds getroffen werd vóór de update. In dat geval word aangeraden om te onderzoeken of malware geïnstalleerd werd. Managed service-klanten van ConXioN kunnen alvast op beide oren slapen, aangezien hun on-premise Exchange Servers reeds gepatcht werden én SentinelOne Endpoint Security ervoor zorgt dat geen malware op hun toestellen kan geplaatst worden. Daarnaast kan SentinelOne specifiek op zoek gaan naar Hafnium-activiteit op je servers.

Hackers worden steeds vindingrijker en gaan steeds sneller en beter te werk. Daarom blijft het belangrijk om alert te zijn, je werknemers bewust te maken van de gevaren en te zorgen voor goede security. Heb je hier hulp bij nodig? Wil jij meer weten over onze security-oplossingen? Of wil je graag je medewerkers alert maken voor dit soort gevaren in een security awareness training?