Microsoft heeft vier zeroday-kwetsbaarheden gedicht in Exchange Server. Die zouden misbruikt zijn door Chinese spionnen om data te stelen van Amerikaanse defensie-aannemers, advocatenkantoren en infectiologen.

Microsoft heeft verschillende zeroday-exploits ontdekt in Microsoft Exchange Server die gebruikt zijn in een aantal gerichte aanvallen op Amerikaanse slachtoffers. Dat schrijft Microsoft in een securityblog. De kwetsbaarheden gaven de aanvallers toegang via on-premise Exchange-servers die versies 2013 tot 2019 draaien, en daarmee toegang tot e-mailaccounts, waarna zij malware konden installeren. Microsoft roept gebruikers op zo snel mogelijk een patch te installeren. EQUA is bezig om alle Exchange servers die het in beheer heeft van deze patch te voorzien.

Microsoft schrijft de exploits ‘met grote zekerheid’ toe aan de Chinese hackersgroep Hafnium. Dat is een groep die gelinkt wordt aan de Chinese regering en zich actief richt op het stelen van gegevens van Amerikaanse personen die onder andere werken bij advocatenkantoren, in het hoger onderwijs, bij politieke denktanks en non-profits. Ook richt de groep zich op defensie-aannemers en infectiologen. Hafnium werkt voornamelijk vanaf gehuurde virtual private servers in de VS, zegt Microsoft.

In dit geval werden vier zerodays ontdekt die actief misbruikt zijn. Kwetsbaarheid CVE-2021-26855 gaf aanvallers de mogelijkheid om arbitraire HTTP-requests te versturen en zich voor te doen als Exchange-server. CVE-2021-26857 gaf de aanvallers de mogelijkheid om code te draaien met veel rechten op een Exchange-server, waarbij de hackers volledige admintoegang nodig hadden of door gebruik te maken van de vorige kwetsbaarheid. Met kwetsbaarheden CVE-2021-26858 of CVE-2021-27065, kregen de hackers de mogelijkheid om bestanden te schrijven naar elke plek op de Exchange-server die ze wilden.

De hackers werkten volgens Microsoft in drie stappen. Allereerst kregen ze toegang tot on-premise Exchange-servers door deze kwetsbaarheden te misbruiken of door gestolen wachtwoorden te gebruiken. Vervolgens kon Hafnium web shells op de Exchange-servers opzetten, waarna de hackers op afstand beheer van de server konden overnemen. Vervolgens lukte het de hackers data te stelen en malware te plaatsen. Ook lukte het de hackers om volledige adresboeken te downloaden, waarna zij informatie kregen over organisaties en gebruikers. Microsoft zegt de Amerikaanse overheid van de aanvallen op de hoogte te hebben gebracht.

Beveiligingsbedrijf Volexity ontdekte twee van de kwetsbaarheden in januari, nadat het ontdekte dat een grote hoeveelheid data naar verdachte ip-adressen werd gestuurd. In eerste instantie dacht Volexity dat er gebruik werd gemaakt van een backdoor, maar al snel kwam het bedrijf erachter dat het ging om meerdere zerodays. Voor misbruik van een van de zerodays is geen enkele authenticatie nodig. Een aanvaller hoeft alleen maar te weten welke server Exchange draait en van welk e-mailadres het data wil stelen. In een blog legt het bedrijf uitgebreid uit hoe de kwetsbaarheden misbruikt konden worden.

Bron: tweakers.net