Microsoft Exchange Server email boxen aangetroffen op darknet

De Microsoft Exchange zero day kwetsbaarheid heeft geleid dat gestolen informatie uit mailboxen en Active Directory die nu zijn te vinden op darknet. Dit heeft security expert Erik Westhovens ontdekt.

Op 2 maart jongstleden werd bekend gemaakt dat er een aantal zeroday kwetsbaarheden zijn ontdekt in Microsoft Exchange server. Voor het dichten van deze kwetsbaarheden heeft Microsoft een aantal updates uitgebracht en de urgentie van het patchen onderstreept. Via diverse communicatie is dit groot in het nieuws geweest, maar toch heeft niet elk bedrijf deze patches meteen aangebracht. Een recent onderzoek door Microsoft toont aan dat op 9 maart nog 100.000 servers niet gepatched waren.  

Hafnium

De groepering die deze kwetsbaarheid actief is gaan misbruiken kreeg de naam Hafnium, maar inmiddels zijn er meerdere groeperingen die actief misbruik maken van dit lek met als doel om bedrijven te chanteren met gestolen data, gebruikersgegevens en het plaatsen van ransomware. Deze ransomware is inmiddels al aangetroffen onder de naam Win32/DoejoCrypt.A en onder de naam DearCry.

Active Directory

Erik Westhovens, een cyber security investigator, die onderzoek heeft gedaan naar de implicaties van het niet patchen van deze kwetsbaarheid, heeft nu ook ontdekt dat een niet gepatchte of te laat gepatchte server kan leiden tot complete ‘email exfiltration’. Er zijn zelfs complete Active Directory databases gekopieerd. “Door de code die de kwetsbaarheid exploit enigszins aan te passen kan een remote machine als een exchange server worden toegevoegd aan het exchange cluster en worden alle mailboxen op het cluster gesynchroniseerd met de remote computer van de aanvaller. Ook Exchange Server toepassingen in een hybride scenario waar de mail in Office365 staat kunnen op deze manier misbruikt worden. De eerste mailboxen zijn inmiddels al op Darknet aangeboden op steeds wisselende pagina’s.”

Darknet

Volgens Erik Westhovens verbaasd het hem dat er nog geen berichten zijn geweest van mogelijke datalekken omdat e-mail vaak veel confidentiële gegevens bevat die nu op darknet terug te vinden zijn.  “Bedrijven die niet of te laat geupdate hebben en getroffen zijn door de hacks word geadviseerd om goed te kijken naar de datacommunicatie en het is heel verstandig om alle gebruikers hun wachtwoord zo snel mogelijk te laten wijzigen omdat het erg moeilijk is om te verifiëren of er toegang is geweest tot Active Directory.”

Advanced Protection Partner Insight

Tom Hulscher, Senior Manager Solution Specialist bij IT-dienstverlener Insight voegt toe: “We zijn bezorgd over de getroffen bedrijven en zullen als advanced threat protection partner van Microsoft technologie toepassingen alles doen wat binnen onze mogelijkheden ligt om de wereld veilig te houden en bedrijven te ondersteunen in het beschermen van hun omgeving en hun data.”