In de maand maart werd de wereld verrast door een kritieke beveiligingsupdate van Microsoft voor het dichten van een kwetsbaarheid. Nu worden vulnerabilities aan de lopende band ontdekt en gepatcht, maar met dit lek bleek toch meer aan de hand. Zo kwam aan het licht dat de zwakte al werd geëxploiteerd voordat hij bekend werd. Wat betekent dat organisaties eigenlijk al te laat waren op het moment van bekendmaking en dus direct in actie moesten komen.
Patchbereidheid van organisaties is te laag
Het ging om een kwetsbaarheid in Microsoft Exchange Server, genaamd Hafnium. Elke organisatie die on-premises een mailserver heeft draaien met Exchange, was hierdoor kwetsbaar. Dat gaat om heel veel bedrijven. En omdat een Exchange-server een naar internet gepubliceerde oplossing is, betekent dat ook dat hij eenvoudig te vinden is door aanvallers. De kwetsbaarheid werd ook direct uitgebuit, doordat massaal webshells werden geïnstalleerd die ervoor zorgden dat aanvallers ongezien vanaf elke locatie, mits ze over de juiste gegevens beschikten, toegang hadden tot de gehele server.
Hoewel Microsoft op 2 maart de patch heeft uitgebracht, valt de patchbereidheid van bedrijven mij toch iedere keer weer tegen. Terwijl dat nou net het allerbelangrijkste is. Zeker een naar het internet gepubliceerde server, zoals Exchange, die moet altijd serieus beveiligd en goed gepatcht zijn. IT-teams zijn vaak huiverig voor zowel updates (zoals patches) aan een kritieke server, als voor de consequenties van het niet patchen. Het gevolg is vaak dat er laksheid ontstaat en updates veel te lang worden uitgesteld. Zelfs als er een kritieke vulnerability zoals Hafnium aan de orde is. Er heerst vaak een gedachte van ‘dat gaat ons toch niet gebeuren’ of ‘wij zijn toch niet interessant voor hackers’.
Eén lek dichten is als dweilen met de kraan open
Met het patchen van de server zijn de gevaren overigens in dit geval nog niet voorbij. Want als je deze patch draait, heb je alleen het oorspronkelijke lek gedicht. ‘Waterdicht’ is je server dan nog steeds niet. Sterker nog: het is dweilen met de kraan open. De kans is namelijk vrij groot dat iemand die al een keer binnen is geweest, bijvoorbeeld via een reeds geïnstalleerde webshell, vervolgens ook acties heeft uitgevoerd en een nieuw deurtje heeft opengezet.
En vanaf dat punt zien we nu heel veel activiteiten plaatsvinden. Zo gebruiken sommige aanvallers de toegang die ze hebben gecreëerd om credentials te achterhalen van gebruikers of mailboxen. Anderen zijn echt uit op het vergaren van data uit die e-mail-databases. We zien criminele organisaties het gebruiken als stepping stone naar andere kroonjuwelen binnen zo’n bedrijf. En heel laagdrempelig wordt het misbruikt voor ransomware-aanvallen.
Maar er zijn nog veel meer scenario’s te bedenken als er eenmaal toegang is tot de kroonjuwelen. Die doelstellingen van de aanvaller kunnen variëren. In het geval van de kwetsbare Exchange Server is het vermoeden dat er een criminele groep is geweest die verschillende toegangspoorten (de webshells) heeft gecreëerd om ze vervolgens te verkopen op het dark web, waarna andere criminelen dankzij die ingangen zelf weer aan de slag konden gaan. Maar er zijn ook criminele organisaties die op zoek zijn naar informatie, bijvoorbeeld om intellectual property te stelen. Wat we eigenlijk altijd wel zien, is dat een aanvaller die gebruikt maakt van zo’n kwetsbaarheid, ook nog andere achterdeurtjes plaatst. Hiermee hoopt hij dat als het doelwit de patch van Microsoft draait, dat hij nog alternatieve wegen heeft om binnen te geraken (de zogenaamde persistency-aanval). Een van de gevolgen die we nu ook zien, is het initiëren van een ransomware aanval. Specifiek zien we een aanval genaamd ‘dearcry’ veelvuldig plaatsvinden over de rug van deze vulnerability.
Achterhalen wat er is gebeurd
Het is dus uitermate belangrijk te achterhalen of er iets is gebeurd. Die webshell is heel geautomatiseerd uitgerold, dus je moet eerst weten of die geplaatst is. En als die webshell is geplaatst, dan is dat op zichzelf niet schadelijk. Maar het is wel een mooie deur naar binnen. We zien nu dat op veel plekken alleen die webshell nog is geplaatst. Waarschijnlijk als een soort voorbereidingsactie op iets wat nog komen gaat, of om massaal te kunnen verkopen.
Organisaties met een Exchange-server moeten dus op zoek naar zogenaamde indicators of compromise, want de kans dat de zwakte al is geëxploiteerd, is aanwezig. En het is voor veel security-oplossingen heel lastig om de gevolgen te detecteren. De meeste oplossingen kunnen wel achteraf aangeven dat er iets is voorgevallen en nog proberen wat schade te herstellen. Maar je wil eigenlijk dat er direct wordt ingegrepen als er iets gebeurt. En zorgen dat alles wat ermee te maken heeft, ook wordt gekilld.
Ik zie dat het veel organisaties ontbreekt aan dat soort mogelijkheden: inzicht in wat er nou eigenlijk is voorgevallen. Als ze al denken te weten dat ze slachtoffer zijn geworden, dan hebben ze vaak niet de middelen om bewijslast samen te stellen, of te zien in hoeverre er activiteiten hebben plaatsgevonden, zoals bijvoorbeeld een poging tot ransomware. En zolang organisaties dat inzicht missen, zullen cybercriminelen rustig hun gang kunnen blijven gaan en blijven bouwen aan de poorten in uw infrastructuur. De vraag is dus: heeft uw organisatie dat inzicht wél?
Auteur: Sjoerd de Jong, Sales Engineer, SentinelOne
