Kwetsbaarheden CVE's
Toegevoegde kwetsbaarheid: ProxyToken
Er is een kwetsbaarheid ontdekt in de Microsoft Exchange die de werktitel ProxyToken heeft gekregen. De kwetsbaarheid (CVE-2021-33766) maakt het mogelijk om als niet geauthentiseerde gebruiker inkomende e-mails te stelen en zo mogelijk toegang te krijgen tot gevoelige gegevens. Microsoft heeft beveiligingsupdates beschikbaar gesteld waarmee de kwetsbaarheden worden verholpen. Het NCSC heeft de reeks kwetsbaarheden onverminderd ingeschaald als High/High. Dat wil zeggen dat er een grote kans is dat deze kwetsbaarheden worden misbruikt en dat de schade groot kan zijn. Het NCSC heeft de afgelopen dagen geconstateerd dat kwaadwillenden nog steeds actief op zoek zijn naar kwetsbare Microsoft Exchange Server-systemen. Daarom herhalen we de oproep om de beschikbare updates zo spoedig mogelijk te (laten) installeren. Aanvullende informatie is te vinden in de update-guide van Microsoft.
Microsoft waarschuwt duizenden klanten voor kritiek lek in Azure Cosmos DB
Microsoft heeft duizenden klanten gewaarschuwd voor een kritieke kwetsbaarheid in Azure Cosmos DB waardoor aanvallers toegang tot databases konden krijgen. Cosmos DB is een databaseplatform dat onderdeel van Microsofts Azure-clouddienst is. Het wordt door allerlei bedrijven gebruikt voor de opslag van grote hoeveelheden data, waaronder Fortune 500-bedrijven gebruikt. Coca-Cola, Exxon-Mobil en Citrix maken gebruik van Cosmos DB. Onderzoekers van securitybedrijf Wiz ontdekten dat het mogelijk was om volledige toegang tot de databases van Cosmos DB-klanten te krijgen. In 2019 voegde Microsoft een feature toe genaamd Jupyter Notebook waarmee klanten hun data kunnen visualiseren. De feature werd in februari van dit jaar voor alle klanten standaard ingeschakeld. Een aantal misconfiguraties in de notebook-feature maakten het mogelijk om toegang tot de notebooks van andere klanten te krijgen. Zo was het mogelijk om de primaire keys van de betreffende Cosmos DB te bemachtigen en andere "secrets", waaronder toegangstokens. Met deze informatie was het vervolgens mogelijk om volledige beheerderstoegang tot alle data in de Cosmos DB-accounts te krijgen en de database te lezen, schrijven of verwijderen. Wiz waarschuwde Microsoft, waarna de kwetsbare notebook-feature binnen 48 uur werd uitgeschakeld. Microsoft waarschuwde klanten en adviseerde hen om hun keys te wijzigen, aangezien die door aanvallers gecompromitteerd kunnen zijn. Zolang deze keys niet zijn gewijzigd kan een aanvaller daarmee toegang tot de database krijgen. Wiz laat weten dat Microsoft alleen klanten heeft ingelicht die tijdens de onderzoeksperiode risico liepen. Het securitybedrijf denkt dat veel meer Cosmos DB-klanten gevaar lopen, aangezien de kwetsbaarheid zeker maanden en mogelijk jaren aanwezig was. Technische details over de kwetsbaarheid zullen op een later moment bekend worden gemaakt.
Microsoft roept op om ProxyShell-lekken in Exchange-servers te patchen
Microsoft heeft organisaties opgeroepen om hun Exchange-servers te updaten. Aanleiding is mogelijk misbruik van drie kwetsbaarheden die bij elkaar bekendstaan als ProxyShell. Beveiligingsupdates voor deze beveiligingslekken zijn sinds mei beschikbaar. Door de drie kwetsbaarheden te combineren is het mogelijk voor ongeauthenticeerde aanvallers om kwetsbare Exchange-servers op afstand over te nemen. De afgelopen week lieten beveiligingsonderzoekers en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) weten dat er actief misbruik van de kwetsbaarheden wordt gemaakt om ongepatchte Exchange-servers met webshells en ransomware te infecteren. Microsoft wil deze aanvallen nog niet bevestigen en laat weten dat de ProxyShell-lekken kunnen worden gebruikt voor de verspreiding van ransomware. "Als je de beveiligingsupdates van mei of juli niet hebt geïnstalleerd, dan zijn je servers en data kwetsbaar. Zoals we al meerdere keren hebben aangegeven is het zeer belangrijk om je Exchange-servers via de laatste Cumulative Update (CU) en Security Update (SU) up-to-date te houden", aldus het Microsoft Exchange Team. Dat roept organisaties in een nieuwe blogposting op om hun Exchange-servers te patchen. Eerder liet zoekmachine Shodan nog weten dat achttien procent van alle Exchange-servers die vanaf het internet toegankelijk zijn de ProxyShell-updates niet hebben geïnstalleerd.
NCSC adviseert Zero Trust in plaats van traditionele kasteelmodel
Het Nationaal Cyber Security Centrum (NCSC) adviseert organisaties om voor een Zero Trust-model te kiezen, in plaats van het traditionele kasteelmodel. Zero Trust gaat ervan uit dat de binnenkant van het netwerk van een organisatie niet is te vertrouwen, zoals bij het traditionele kasteelmodel wel het geval is. In plaats daarvan wordt er gewerkt met fijnmazige netwerksegmentatie. Zo wordt toegang tot informatie alleen via beveiligde verbindingen verschaft, ongeacht de locatie. Toegangscontrole vindt op een need-to-know-basis plaats en toegangsrechten worden op basis van mate van vertrouwen bepaald, die afgeleid wordt uit verschillende eigenschappen van de toegangsaanvraag (account, apparaat, ip-adres en locatie). Verder moet uitgebreide monitoring en logging worden toegepast. Deze aanpak moet beter beschermen tegen aanvallen en datalekken dan bij oude modellen het geval is. "Het traditionele beveiligingsmodel, ook wel het kasteel- of kokosnoot-model, heeft structurele zwakheden en is onhoudbaar geworden door moderne malware- en ransomware-aanvallen. Het model schiet tekort wanneer het aankomt op de veranderde technologie en dreigingen van binnenuit", aldus het NCSC. Zodra een aanvaller toegang tot het netwerk heeft gekregen, heeft hij bij deze oude modellen vaak vrij spel, aangezien de binnenkant van het netwerk als een veilige en vertrouwde zone wordt beschouwd. Bij Zero Trust wordt het netwerk in zijn geheel als onvertrouwd beschouwd. Zo wordt horizontale verplaatsing, het tussen systemen verplaatsen op zoek naar data om te exfiltreren, binnen het netwerk bemoeilijkt. Het NCSC adviseert organisaties om een actieplan op te stellen om te zorgen dat Zero Trust kan worden toegepast bij toekomstige vervangings- of uitbreidingsinvesteringen. "Als u Zero Trust goed implementeert, dan leidt dit tot een minimale blootstelling aan aanvallen, een hogere continuïteit van kritieke processen, een verhoogde en kosteneffectievere compliance en een toekomstvaste architectuur", zo stelt de overheidsinstantie in een nieuwe factsheet over Zero Trust.
Microsoft adviseert installeren van beveiligingsupdates binnen 48 uur
Veel aanvallen met ransomware en andere vormen van malware zijn niet complex en maken gebruik van tools en exploits die al jaren bekend zijn, wat aantoont dat organisaties hun basale beveiligingsmaatregelen op orde moeten hebben en houden, zo stelt Microsoft. Eén van die maatregelen is het sneller installeren van beveiligingsupdates.
Volgens Microsoft zal volledige "patch coverage" binnen 48 uur de cybersecurity van een organisatie merkbaar verbeteren. Daarbij wordt aangeraden om servers zo snel mogelijk te patchen, met een focus op de belangrijkste systemen, zoals domeincontrollers. Naast updates voor besturingssystemen moeten ook de applicaties niet worden vergeten. "Het patchen van applicaties is net zo belangrijk", aldus het techbedrijf.
Daarnaast moet de blootstelling vanaf het internet worden beperkt, bijvoorbeeld via firewalls of het gebruik een vpn-verbinding die alleen via tweefactorauthenticatie werkt. Een ander bekend advies is het verminderen van het aantal gebruikers met bijvoorbeeld adminprivileges en andere hoge rechten. Om het aanvallen van systeembeheerders lastiger te maken kunnen organisaties ervoor kiezen om hen uit te rusten met aparte, extra beveiligde apparaten voor het uitvoeren van onderhoudswerkzaamheden.
Afsluitend wordt aangeraden om oude legacy systemen te vervangen en logbestanden te analyseren. "Als je het lastiger dan gemiddeld kan maken, zullen aanvallers met weinig vaardigheden vaak snel opgeven en een volgend doelwit zoeken. Een focus op de basismaatregelen draagt bij aan het beschermen van de meeste mkb-bedrijven", zegt Alan Johnstone van Microsoft.
Kwetsbaarheid in Microsoft Exchange Proxyshell
Aanvallers zijn begonnen met het scannen van Microsoft Exchange-servers op de de ProxyShell-kwetsbaarheden nadat vorige week tijdens de Black Hat-conferentie in Las Vegas details over de beveiligingslekken werden gedeeld. Dat melden het Computer Security Incident Response Team (CERT) van de Zwitserse overheid en verschillende beveiligingsonderzoekers op Twitter. Microsoft kwam in april en mei met beveiligingsupdates voor de kwetsbaarheden, aangeduid als CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207. Door de beveiligingslekken te combineren is het mogelijk voor ongeauthenticeerde aanvallers om kwetsbare Exchange-servers op afstand over te nemen. Tijdens de Pwn2Own-wedstrijd in april werden de kwetsbaarheden gedemonstreerd door securitybedrijf DEVCORE, dat een beloning van 200.000 dollar hiervoor ontving. Beveiligingsonderzoeker Orange Tsai van DEVCORE gaf tijdens de Black Hat-conferentie een presentatie over de kwetsbaarheden. Tsai ontdekte ook de ProxyLogon-kwetsbaarheid die eerder dit jaar op grote schaal werd gebruikt voor het aanvallen van Microsoft Exchange-servers. De onderzoeker stelt dat ProxyLogon slechts het top van de ijsberg is. "Vanuit een architectuurniveau gezien is ProxyLogon geen kwetsbaarheid, maar een compleet nieuw aanvalsoppervlak dat nog niet eerder door iemand is genoemd. Het aanvalsoppervlak zorgt ervoor dat hackers of beveiligingsonderzoekers meer kwetsbaarheden kunnen vinden." Volgens de onderzoekers gaat het bij zowel ProxyShell als ProxyLogon om logicafouten die eenvoudiger zijn te reproduceren en te misbruiken dan geheugenkwetsbaarheden. Een dag na de presentatie lieten andere beveiligingsonderzoekers weten dat het gelukt was om aan de hand van de gegeven informatie een exploit te ontwikkelen. Op dezelfde dag meldde beveiligingsonderzoeker Kevin Beaumont dat hij actief misbruik van de kwetsbaarheden zag. Iets dat gisteren door het Zwitserse CERT is bevestigd. Hoeveel Microsoft Exchange-servers ondanks de beschikbare beveiligingsupdates kwetsbaar zijn is onbekend. Tsai stelt op basis van eigen onderzoek dat meer dan 400.000 Exchange-servers vanaf het internet toegankelijk zijn.
Download de beveiligingsupdates van Microsoft Exchange
Er wordt actief gescand op kwetsbaarheden die het mogelijk maken om op Exchange Servers willekeurige code uit te voeren. Het gaat hier om een bundeling van drie kwetsbaarheden (CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207) die bekend staat als Proxyshell. Microsoft heeft al eerder beveiligingsupdates uitgebracht om deze kwetsbaarheden te verhelpen. Het NCSC heeft deze kwetsbaarheden ook aangeduid als 'High/High'. Dat wil zeggen dat er een grote kans is dat deze kwetsbaarheden worden misbruikt en dat de schade groot kan zijn.
Wat kan ik doen?
Microsoft Exchange servers worden niet altijd tijdig voorzien van updates. Maakt jouw bedrijf gebruik van Exchange, zorg dan dat deze voorzien is van de laatste beveiligingsupdates. De genoemde kwetsbaarheden zijn verholpen in de volgende updates: KB5001779 en KB5003435.
Denk daarbij ook aan de noodzakelijke Cumulative Updates. Microsoft brengt deze per Exchange Server versie om de 3 à 4 maanden uit en alleen de laatste 2 versies worden voorzien van beveiligingsupdates. Voor Exchange Server 2013, 2016 en 2019 dient een Cumulative Update handmatig geïnstalleerd te worden. Je kunt dus niet alleen leunen op automatische updates. Microsoft geeft op deze pagina meer informatie over de beschikbare Cumulative Updates en hoe je kunt nagaan welke geïnstalleerd staat.
Let op!
Bij de installatie van de laatste Cumulative Update versie kan het gebeuren dat de webomgeving (OWA/ECP) niet meer werkt omdat het Exchange Server OAuth certificaat is verlopen of niet meer werkt. Dit kan worden opgelost door een nieuw Exchange Server OAuth certificaat te generen. Microsoft geeft hier uitleg hoe je dit kunt doen. Na het genereren van het nieuwe certificaat kan het een aantal uren duren voordat deze in werking treedt. Houd hier dus rekening mee bij het installeren van de laatste Cumulative Update.