Wouter Hoeffnagel - 12 oktober 2022

Microsoft onderzoekt aanval waarbij mogelijk zero-day in Exchange is gebruikt

Microsoft onderzoekt aanval waarbij mogelijk zero-day in Exchange is gebruikt image

Microsoft onderzoekt een mogelijke zero-day kwetsbaarheid die zou zijn gebruikt voor het aanvallen van Exchange-servers. De servers zouden vervolgens door kwaadwillenden zijn ingezet voor het verspreiden van de ransomware Lockbit.

Aanleiding voor het onderzoek is berichtgeving van het Zuid-Koreaanse cybersecuritybedrijf AhnLab. Forensische experts van dit bedrijf zijn ingeschakeld na een aanval in juli op een bedrijf waarbij aanvallers zo'n 1,3 terabyte aan data stalen en systemen versleutelde met ransomware. Zij wisten hierbij hun rechten te verhogen tot Active Directory-beheerder.

'Vermoedelijk zero-day ingezet'

AhnLab meldt dat bij de aanval vermoedelijk een zero-day kwetsbaarheid is ingezet. Dit is een beveiligingsprobleem die niet eerder is aangetroffen en niet gedocumenteerd is. AhnLab wijst erop dat de klant in kwestie in december 2021 ook is getroffen door een cyberaanval. Microsoft bood na dit incident technische ondersteuning bij het installeren van security patches. AhnLab stelt dat er geen berichten van kwetsbaarheden gerelateerd aan het uitvoeren van commando's op afstand of het creëren van nieuwe bestanden in Exchange bekend zijn gemaakt.

Ook wijst AhnLab op twee zero-day kwetsbaarheden in Microsoft Exchange die recentelijk zijn verholpen. Deze zijn geïdentificeerd als CVE-2022-41040 en CVE-2022-41082. AhnLab stelt dat de aanvalstactieken niet overeenkomen. "De mogelijkheid bestaat dat de kwetsbaarheden in Microsoft Exchange Server (CVE-2022-41040, CVE-2022-41082) die zijn vrijgegeven door het Vietnamese securitybedrijf GTSC op 28 september zijn gebruikt, maar de aanvalsmethode, de genereerde WebShell-bestandsnaam en de aanvallen die volgden op het creëren van de WebShell wijken af", aldus AhnLab. "Het wordt aangenomen dat een andere aanvaller een andere zero-day kwetsbaarheid heeft gebruikt."

In een reactie aan BleepingComputer meldt een woordvoerder van Microsoft de aanval te onderzoeken en belooft indien nodig actie te ondernemen om klanten te beschermen.

Lenovo Channel Campagne vierkant Sophos 14/11/2024 t/m 28/11/2024 BN + BW
Axians 12/11/2024 t/m 26/11/2024 BN+BW

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!