Homeland Security verklaart Microsoft Exchange-aanval "Emergency"

Homeland Security heeft een aanhoudende aanval op Microsoft Exchange uitgeroepen tot noodgeval. De aanvallen, die eerder deze week begonnen, zijn gericht op Microsoft Exchange Servers en brengen verschillende zero-day exploits samen om toegang te krijgen tot beveiligde e-mailaccounts.

Homeland Security: aanval is "onaanvaardbaar risico"

Homeland Security uitgegeven Noodrichtlijn 21-02 laat op 3 maart, met wat achtergrondinformatie over de Microsoft Exchange-aanval.

CISA-partners hebben actief misbruik van kwetsbaarheden in Microsoft Exchange-producten op locatie waargenomen. Het is momenteel bekend dat de kwetsbaarheden en de geïdentificeerde exploit-activiteit geen invloed hebben op implementaties van Microsoft 365 of Azure Cloud. Succesvol misbruik van deze kwetsbaarheden stelt een aanvaller in staat om toegang te krijgen tot lokale Exchange-servers, waardoor ze blijvende systeemtoegang en controle over een bedrijfsnetwerk kunnen krijgen.

De richtlijn legt vervolgens uit dat een dergelijke aanval "een onaanvaardbaar risico vormt voor agentschappen van de federale civiele uitvoerende macht en noodmaatregelen vereist".

Homeland Security heeft op vrijdag 5 maart 12.00 uur EST vastgesteld voor federale agentschappen om te voldoen aan de analyse- en mitigatieprotocollen die in de richtlijn zijn uiteengezet.

Momenteel moet elk bureau zijn Microsoft Exchange-servers identificeren en een forensische triage van zijn systeem voltooien geheugen, logboeken en registercomponenten, en analyseer vervolgens de resultaten op eventuele aanwijzingen voor diefstal van inloggegevens of andere compromissen.

Verwant: De beste gratis alternatieven voor Microsoft Outlook

Wie valt Microsoft Exchange-servers aan?

Microsoft heeft de figuur duidelijk gericht op een Chinese hackgroep van een nationale staat die bekend staat als HAFNIUM. Gewoonlijk doen bedrijven er wat langer over voordat ze zich ertoe verbinden een verdachte te benoemen, maar Microsoft twijfelt er niet aan dat er een "zeer bekwame en geavanceerde actor" achter de aanval zit.

Microsoft Threat Intelligence Center (MSTIC) schrijft deze campagne met veel vertrouwen toe aan HAFNIUM, een groep beoordeeld als door de staat gesponsord en opererend vanuit China, op basis van geobserveerde slachtofferschap, tactieken en procedures.

Een deel van de reden hiervoor is dat de Microsoft Exchange-aanval vier voorheen onbekende kwetsbaarheden aan elkaar koppelt. U kunt de details lezen op de ambtenaar Microsoft-beveiligingsblog.

Microsoft merkt ook op dat het heeft waargenomen dat HAFNIUM interactie heeft met zijn Microsoft Office 365-suite, op zoek naar kwetsbaarheden. Het bevestigde ook dat deze aanval geen verband houdt met SolarWinds, de enorme cyberaanval die meerdere Amerikaanse overheidsinstanties trof, samen met verschillende toonaangevende technologiebedrijven.

Verwant: Microsoft onthult het werkelijke doelwit van de SolarWinds-cyberaanval

Het goede nieuws is dat deze aanvallen aan de gang zijn en een aanzienlijke bedreiging vormen voor Microsoft Exchange Servers, heeft het Microsoft-beveiligingsteam al een reeks patches uitgerold om de kwetsbaarheden.

Meer informatie over de Microsoft Exchange Server-patches vindt u op het Microsoft Tech Community-site, inclusief het downloaden en installeren van de updates en het scannen van uw Exchange-servers op tekenen van compromittering.

6 eenvoudige manieren om de beveiliging te verbeteren in Microsoft Defender en Windows 10

Microsoft Defender is een ingebouwde beveiligingstool van Windows 10. Maak het nog beter met deze 6 eenvoudige beveiligingsverbeteringen.

Over de auteur