Op 2 maart heeft Microsoft security updates voor nieuwe zeroday-kwetsbaarheden beschikbaar gesteld, deze kwetsbaarheden worden al sinds januari actief aangevallen en zijn nu bekend gemaakt. Vanuit Microsoft komt het dringende advies om Exchange servers zo snel mogelijk te voorzien van deze update.
De kwetsbaarheden bestaan in lokale Exchange-servers 2010, 2013, 2016 en 2019. Exchange Online wordt niet beïnvloed. Het is van groot belang om de Microsoft Exchange servers te voorzien van de beschikbaar gestelde patches.
Microsoft schrijft de exploits 'met grote zekerheid' toe aan de Chinese hackersgroep Hafnium. Dat is een groep die gelinkt wordt aan de Chinese regering en zich actief richt op het stelen van gegevens van Amerikaanse personen die onder andere werken bij advocatenkantoren, in het hoger onderwijs, bij politieke denktanks en nonprofits. Ook richt de groep zich op defensie-aannemers en infectiologen. Hafnium werkt voornamelijk vanaf gehuurde virtual private servers in de VS, zegt Microsoft.
Het gaat om de volgende kwetsbaarheden:
CVE-2021-26855 is een kwetsbaarheid voor server-side request forgery (SSRF) in Exchange waardoor de aanvaller willekeurige HTTP-verzoeken kon verzenden en zich kon verifiëren als de Exchange-server.
CVE-2021-26857 is een onveilige kwetsbaarheid voor deserialisering in de Unified Messaging-service. Bij onveilige deserialisatie worden niet-vertrouwde, door de gebruiker bestuurbare gegevens gedeserialiseerd door een programma. Door gebruik te maken van deze kwetsbaarheid kreeg HAFNIUM de mogelijkheid om code als SYSTEEM op de Exchange-server uit te voeren. Dit vereist toestemming van de beheerder of een andere kwetsbaarheid om misbruik te maken.
CVE-2021-26858 is een kwetsbaarheid voor het schrijven van willekeurige bestanden na authenticatie in Exchange. Als HAFNIUM zich zou kunnen verifiëren bij de Exchange-server, zouden ze dit beveiligingslek kunnen gebruiken om een bestand naar een willekeurig pad op de server te schrijven. Ze konden zich authenticeren door misbruik te maken van de CVE-2021-26855 SSRF-kwetsbaarheid of door de legitieme inloggegevens van de beheerder in gevaar te brengen.
CVE-2021-27065 is een kwetsbaarheid voor het schrijven van willekeurige bestanden na authenticatie in Exchange. Als HAFNIUM zich zou kunnen verifiëren bij de Exchange-server, zouden ze dit beveiligingslek kunnen gebruiken om een bestand naar een willekeurig pad op de server te schrijven. Ze konden zich authenticeren door misbruik te maken van de CVE-2021-26855 SSRF-kwetsbaarheid of door de legitieme inloggegevens van de beheerder in gevaar te brengen.
Meer informatie is te vinden bij Microsoft
Kunnen wij u helpen?
Heeft u hulp nodig bij het updaten van uw Exchange server('s)? Of kunnen wij u wellicht helpen bij een migratie naar de cloud zoals Microsoft 365 en/of Exchange Online?
Neem, vrijblijvend contact met ons op:
