Kwetsbaarheden in Microsoft Exchange-server wereldwijd actief misbruikt
Voor onze klanten beheren wij een groot aantal servers en zorgen we dat ze veilig zijn. Toen Microsoft op 2 maart 2021 updates uitbracht over de aanval van Hafnium op Exchange-servers met zero-day exploits, gingen alle alarmbellen af.
De zero in zero-day-exploit staat voor de tijd die er is om de verdediging voor te bereiden vanaf het moment waarop er een lek in software wordt ontdekt. Deze pagina houdt een tijdlijn bij van activiteiten die wij hebben uitgevoerd om de veiligheid te borgen.
Dinsdagavond 2 maart 2021
We onderzoeken meldingen over een nieuwe zero-day exploit. Organisaties blijken geraakt door een recent ontdekte kwetsbaarheid in Microsofts e-maildienst Exchange. Hafnium, een Chinese hackersgroep wordt verantwoordelijk gesteld.
Woensdag 3 maart 2021
Op basis van de ontdekking op dinsdagavond worden direct acties ondernomen om de servers van onze klanten te beschermen.
| 08:15 uur | Interne communicatie over de impact op Hybrid Exchange-servers. Microsoft heeft ondertussen een update beschikbaar gesteld. We maken een lijst met betroffen servers, om asap de update te kunnen installeren. |
| 09:01 uur | Klanten worden gebeld om de Exchange-server te rebooten om de juiste cumulatieve updates te installeren alvorens te kunnen patchen. |
| 12:01 uur | Interne communicatie over impact van de exploit, en vaststelling van de status van de voortgang van de patching. |
| 14:05 uur | De technisch accountmanagers hebben de betreffende klanten geïnformeerd met uitleg over het probleem (kwetsbare lek in de e-maildienst van Microsoft) en de oplossing (installeren van de update van Microsoft). |
| 20:15 uur | Enkele servers hadden wat issues, maar alle geïmpacteerde MEOS-klantservers zijn nu gepatcht. |
Zaterdag 6 maart 2021
Het gevaar blijkt nog niet geweken. Ondertussen is er berichtgeving dat er wereldwijd meer dan 250.000 Exchange-servers zijn besmet en de cijfers stijgen.
Het Amerikaanse National Security Council communiceert dat wanneer de besmetting al heeft plaatsgevonden, patchen weinig zin heeft en er maatregelen getroffen moeten worden. Het NCSC komt met aanvullend advies.
Wij voeren per direct een controle uit met een door Microsoft vrijgegeven scanner. De scanner controleert of er mogelijke verdachte bestanden op die server zijn. Ook voeren we een aantal voorzorgsmaatregelen uit die de impact beperken. Een aantal servers zijn mogelijk besmet. Op deze servers draaien we een full scan om de scope van de impact te analyseren.
De eerste voorzichtige conclusie is dat er alleen servers (automatisch) zijn geïnfecteerd maar dat er nog geen (proactief en handmatig) misbruik is gemaakt van deze infectie.
Maandag 8 maart 2021
| 06:59 uur | De scanner heeft bij een aantal servers aangegeven dat er op 3 maart inderdaad verdachte activiteit is geweest. Dat wordt verder geanalyseerd. Zo lang er geen definitieve oplossing gevonden is blijven we monitoren en onderzoeken we welke bestanden en processen geïnfecteerd kunnen zijn en welke vervolgstappen er genomen moeten worden. Preventief wordt firewall poort 443 richting de betreffende servers tijdelijk dichtgezet. |
| 07:48 uur | Er komt een nieuwe scanner beschikbaar om eventuele breaches te kunnen ontdekken. |
| 08:59 uur | We analyseren een van de geïnfecteerde servers om te controleren of er ook misbruik is gemaakt van de besmette server. |
| 13:24 uur | De lijst van mogelijk gevaarlijke ip-adressen worden pro-actief op alle firewalls geblokkeerd. |
| 15:29 uur | Alle servers zijn opnieuw volledig gescand. Geen nieuwe connecties of besmettingen gedetecteerd. Interne communicatie naar gehele organisatie over bevinden en mogelijke vervolg acties. |
| 20:13 uur | Op basis van alle beschikbare externe informatie in combinatie met onze bevindingen besluiten we om de geïnfecteerde servers uit te schakelen en terug te zetten. Met behulp van de back-up worden de servers weer teruggezet naar de dag voordat de besmetting plaatsvond. Vervolgens zijn gelijk de beschermende patches van Microsoft geïnstalleerd en zijn de servers weer helemaal veilig. Dit communiceren we intern. |
Er verschijnen statistieken over de de kwetsbaarheden wereldwijd inclusief een landen Top 10. Nederland staat hoog, en dat is in dit geval niet echt gunstig.
Dinsdag 9 maart 2021
| 07:59 uur | Interne communicatie, plan van aanpak voor wijzigen wachtwoorden beheerder-accounts en restore getroffen servers. Voorbereiden klantencommunicatie ter informatie en waar impact. |
| 09:02 uur | Start restore getroffen servers, na herstel direct opnieuw patchen en voor de zekerheid de scantool opnieuw uitvoeren ter controle. Start preventief wijzigen wachtwoorden beheerders-accounts van alle getroffen klanten. Continue monitoring op eventuele impact van wijzigingen. Interne communicatie naar gehele organisatie over plan van aanpak en de mogelijke risico’s die maatregelen hebben voor de klanten. |
| 11:57 uur | Communicatie naar klanten. Getroffen klanten worden telefonisch geïnformeerd. |
| 14.37 uur | Klanten reageren zeer positief over ons handelen en communiceren: “Dank voor jullie expertise en afstemming met onze organisatie!” |
| 17:05 uur | Alle wijzigingen zijn afgerond. Interne communicatie over uitgevoerde acties, waar we staan en of er nog vervolgacties nodig zijn op dit moment. |
| 20.00 uur | Interne communicatie naar gehele organisatie over uitgevoerde acties. |
Vrijdag 12 maart
| 06.14 uur | Inmiddels maken ook derden actief misbruik van het lek en verschijnen er diverse aanvallen in het nieuws. Microsoft Security Intelligence laat weten dat een nieuwe familie ransomware is ontdekt genaamd DearCry aka Win32/DoejoCrypt.A. Uiteraard zijn alle MEOS servers al beschermd tegen dit lek, maar ook in geval van nieuwe lekken gebruiken wij standaard FSRM om ransomware tegen te gaan op onze servers. |
Dinsdag 16 maart
| 06.59 uur | Ondertussen heeft Microsoft een nieuwe versie van de scanner uitgebracht die zowel patcht als scant op besmettingen. |
Dinsdag 13 april
| De FBI vindt Hafnium zo spannend dat ze de kwetsbaarheid van de eerste keer hebben gebruikt (aka hacken) om de digitale deuren te sluiten bij de voor hun meest belangrijke bedrijven. | |
| 20.23 uur | Er zijn opnieuw kwetsbaarheden ontdekt in verschillende versies van de Exchange Server. |
Woensdag 14 april
| 07.05 uur | We bepalen de acties: voor zover nog niet gedaan voeren we een upgrade uit naar de laatste cumulatieve update voor de betreffende Exchange-versie en we installeren de laatste security updates. |
| 07.10 uur | We stellen een team samen en starten de werkzaamheden. |
| 08.58 uur | Klanten krijgen een update. Voorbereidingen worden getroffen. |
| 12.59 uur | 80% van de installaties zijn afgerond. |
| 14.47 uur | Alles is klaar, we starten de communicatie richting de betrokken klanten. |
Woensdag 14 juli
Meer dan 3 maanden later wordt duidelijk dat alertheid nog steeds is geboden. Opnieuw zijn er kwetsbaarheden ontdekt bij de Exchange servers waar aanvallers dankbaar misbruik van maken.
Microsoft heeft hier een verse update voor vrij gegeven die met hoge urgentie uitgerold moet worden.
Vanochtend hebben wij met gierende banden een team samengesteld om hier direct mee aan de slag te gaan. Voordeel is dat onze Exchange server hoofdzakelijk gebruikt wordt voor management-doeleinden en onze klanten in de cloud werken waardoor het risico minder groot is. We blijven alert. En blijven patchen.
Donderdag 15 juli
We hebben kunnen vaststellen dat de update succesvol is geïnstalleerd.
Nieuwe ontwikkelingen blijven we actief opvolgen.
