Aanvallen op Microsoft Exchange in augustus met 170% gegroeid

Het aantal gebruikers dat is aangevallen door exploits gericht op kwetsbaarheden in Microsoft Exchange-servers, geblokkeerd door Kaspersky-producten, is in augustus met 170% gegroeid van 7.342 naar 19.839 gebruikers. In Nederland ging het in de periode van maart tot en met augustus dit jaar om in totaal 928 gebruikers. Volgens Kaspersky-experts houdt deze schrikbarende groei verband met het toenemende aantal aanvallen dat misbruik probeert te maken van eerder bekendgemaakte kwetsbaarheden in het product, en het feit dat gebruikers kwetsbare software niet meteen patchen, waardoor het potentiële aanvalsoppervlak groter wordt.  

  Kwetsbaarheden in Microsoft Exchange Server hebben dit jaar voor veel chaos gezorgd. Op 2 maart 2021 werd het publiek op de hoogte gebracht van ‘in-the-wild’ exploitaties van zero-day kwetsbaarheden in Microsoft Exchange Server, die vervolgens werden uitgebuit in een golf van aanvallen op organisaties wereldwijd. Later in het jaar patchte Microsoft ook een reeks van de zogenaamde ProxyShell-kwetsbaarheden – CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207.

Samen vormen deze kwetsbaarheden een kritieke bedreiging en stellen ze een hacker in staat om authenticatie te omzeilen en code uit te voeren als een geautoriseerde gebruiker. Hoewel de patches voor deze kwetsbaarheden al enige tijd geleden zijn uitgebracht, aarzelden cybercriminelen niet om er misbruik van te maken.

In de afgelopen zes maanden zijn 74.274 Kaspersky-gebruikers op exploits voor MS Exchange-kwetsbaarheden gestuit.     Bovendien waarschuwde de Cybersecurity and Infrastructure Security Agency (CISA) in de VS op 21 augustus dat ProxyShell-kwetsbaarheden nu actief worden misbruikt door cybercriminelen in een recente golf van aanvallen. In het op 26 augustus gepubliceerde advies legt Microsoft uit dat een Exchange-server kwetsbaar is als er geen Cumulative Update (CU) op draait met ten minste de Security Update (SU) van mei. 
Unieke gebruikers die te maken kregen met aanvallen op MS Exchange, maart-augustus 2021
Volgens de uitgelezen resultaten van Kaspersky werden in de laatste week van de zomer dagelijks meer dan 1.700 gebruikers aangevallen met ProxyShell-exploits, waardoor het aantal aangevallen gebruikers in augustus 2021 met 170% is gestegen ten opzichte van juli 2021. Dit weerspiegelt het grootschalige probleem dat deze kwetsbaarheden vormen, als ze ongepatcht blijven.   

Evgeny Lopatin, Security Researcher bij Kaspersky: “Het feit dat deze kwetsbaarheden actief worden misbruikt, komt niet als een verrassing. Vaak vormen 1-day kwetsbaarheden, de kwetsbaarheden die al bekend zijn gemaakt en waarvan de ontwikkelaars patches hebben uitgebracht, een nog grotere bedreiging. Dit omdat ze bekend zijn bij een breder scala aan cybercriminelen die hun geluk beproeven bij het binnendringen in elk netwerk waar ze hun handen op kunnen krijgen. Deze actieve toename van aanvallen toont wederom aan waarom het zo essentieel is om kwetsbaarheden zo snel mogelijk te patchen zodat netwerken niet worden gecompromitteerd. We raden ten zeerste aan om het meest recente advies van Microsoft op te volgen om eventuele grotere risico’s te beperken”. 

  Kaspersky-producten beschermen met Behavior Detection- en Exploit Prevention-componenten tegen exploits die misbruik maken van ProxyShell-kwetsbaarheden en detecteren exploits met de volgende benamingen:  PDM:Exploit.Win32.Generic  HEUR:Exploit.Win32.ProxyShell.*  HEUR:Exploit.*.CVE-2021-26855.*   

Beschermen tegen aanvallen   Om bescherming te bieden tegen aanvallen die misbruik maken van de hierboven genoemde kwetsbaarheid, raadt Kaspersky aan om de updates van Exchange Server zo snel mogelijk uit te voeren. Richt verder de beveiligingsstrategie op het detecteren van lateral movement en exfiltratie van gegevens naar het internet. Besteed hierbij speciale aandacht aan uitgaand verkeer om verbindingen met cybercriminelen te detecteren. Maak ook regelmatig back-ups van gegevens en zorg ervoor dat je er in noodgevallen snel bij kunt.

Het gebruik van oplossingen zoals Kaspersky Endpoint Detection and Response en de Kaspersky Managed Detection and Response-service, helpen om een aanval in een vroeg stadium te identificeren en te stoppen, voordat de aanvallers hun doel bereiken. Als laatste is het aan te raden om gebruik te maken van een betrouwbare endpoint security-oplossing zoals Kaspersky Endpoint Security for Business (KESB), deze is opgebouwd uit exploit preventie, gedragsdetectie en een remediation engine die malafide acties kan terugdraaien. KESB heeft ook verdedigingsmechanismen die kunnen voorkomen dat cybercriminelen het systeem verwijderen.