Aanvallen op Microsoft Exchange in augustus met 170% gegroeid

kaspersky-lab-400300

Het aantal gebruikers dat is aangevallen door exploits gericht op kwetsbaarheden in Microsoft Exchange-servers, geblokkeerd door Kaspersky-producten, is in augustus met 170% gegroeid van 7.342 naar 19.839 gebruikers. In Nederland ging het in de periode van maart tot en met augustus dit jaar om in totaal 928 gebruikers. Volgens Kaspersky-experts houdt deze schrikbarende groei verband met het toenemende aantal aanvallen dat misbruik probeert te maken van eerder bekendgemaakte kwetsbaarheden in het product, en het feit dat gebruikers kwetsbare software niet meteen patchen, waardoor het potentiële aanvalsoppervlak groter wordt.   Kwetsbaarheden in Microsoft Exchange Server hebben dit jaar voor veel chaos gezorgd.

Op 2 maart 2021 werd het publiek op de hoogte gebracht van 'in-the-wild' exploitaties van zero-day kwetsbaarheden in Microsoft Exchange Server, die vervolgens werden uitgebuit in een golf van aanvallen op organisaties wereldwijd. Later in het jaar patchte Microsoft ook een reeks van de zogenaamde ProxyShell-kwetsbaarheden - CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207. Samen vormen deze kwetsbaarheden een kritieke bedreiging en stellen ze een hacker in staat om authenticatie te omzeilen en code uit te voeren als een geautoriseerde gebruiker. Hoewel de patches voor deze kwetsbaarheden al enige tijd geleden zijn uitgebracht, aarzelden cybercriminelen niet om er misbruik van te maken. In de afgelopen zes maanden zijn 74.274 Kaspersky-gebruikers op exploits voor MS Exchange-kwetsbaarheden gestuit.   Bovendien waarschuwde de Cybersecurity and Infrastructure Security Agency (CISA) in de VS op 21 augustus dat ProxyShell-kwetsbaarheden nu actief worden misbruikt door cybercriminelen in een recente golf van aanvallen. In het op 26 augustus gepubliceerde advies legt Microsoft uit dat een Exchange-server kwetsbaar is als er geen Cumulative Update (CU) op draait met ten minste de Security Update (SU) van mei.

Volgens de uitgelezen resultaten van Kaspersky werden in de laatste week van de zomer dagelijks meer dan 1.700 gebruikers aangevallen met ProxyShell-exploits, waardoor het aantal aangevallen gebruikers in augustus 2021 met 170% is gestegen ten opzichte van juli 2021. Dit weerspiegelt het grootschalige probleem dat deze kwetsbaarheden vormen, als ze ongepatcht blijven.  Evgeny Lopatin, Security Researcher bij Kaspersky: "Het feit dat deze kwetsbaarheden actief worden misbruikt, komt niet als een verrassing. Vaak vormen 1-day kwetsbaarheden, de kwetsbaarheden die al bekend zijn gemaakt en waarvan de ontwikkelaars patches hebben uitgebracht, een nog grotere bedreiging. Dit omdat ze bekend zijn bij een breder scala aan cybercriminelen die hun geluk beproeven bij het binnendringen in elk netwerk waar ze hun handen op kunnen krijgen. Deze actieve toename van aanvallen toont wederom aan waarom het zo essentieel is om kwetsbaarheden zo snel mogelijk te patchen zodat netwerken niet worden gecompromitteerd. We raden ten zeerste aan om het meest recente advies van Microsoft op te volgen om eventuele grotere risico's te beperken".  Kaspersky-producten beschermen met Behavior Detection- en Exploit Prevention-componenten tegen exploits die misbruik maken van ProxyShell-kwetsbaarheden en detecteren exploits met de volgende benamingen: PDM:Exploit.Win32.Generic HEUR:Exploit.Win32.ProxyShell.* HEUR:Exploit.*.CVE-2021-26855.*  

Beschermen tegen aanvallen  

Om bescherming te bieden tegen aanvallen die misbruik maken van de hierboven genoemde kwetsbaarheid, raadt Kaspersky aan om de updates van Exchange Server zo snel mogelijk uit te voeren. Richt verder de beveiligingsstrategie op het detecteren van lateral movement en exfiltratie van gegevens naar het internet. Besteed hierbij speciale aandacht aan uitgaand verkeer om verbindingen met cybercriminelen te detecteren. Maak ook regelmatig back-ups van gegevens en zorg ervoor dat je er in noodgevallen snel bij kunt. Het gebruik van oplossingen zoals Kaspersky Endpoint Detection and Response en de Kaspersky Managed Detection and Response-service, helpen om een aanval in een vroeg stadium te identificeren en te stoppen, voordat de aanvallers hun doel bereiken. Als laatste is het aan te raden om gebruik te maken van een betrouwbare endpoint security-oplossing zoals Kaspersky Endpoint Security for Business (KESB), deze is opgebouwd uit exploit preventie, gedragsdetectie en een remediation engine die malafide acties kan terugdraaien. KESB heeft ook verdedigingsmechanismen die kunnen voorkomen dat cybercriminelen het systeem verwijderen. 

Meer over
Lees ook
Zerto: Afsluiten van cyberverzekeringen lastiger vanwege toenemende complexiteit en regelmaat van aanvallen

Zerto: Afsluiten van cyberverzekeringen lastiger vanwege toenemende complexiteit en regelmaat van aanvallen

Zerto, een dochteronderneming van Hewlett Packard Enterprise, ziet voor 2024 drie belangrijke trends rond cybersecurity en het dreigingslandschap. De eerste is dat de toenemende complexiteit en regelmaat van cyberaanvallen het steeds moeilijker zullen maken voor bedrijven om een goede cyberverzekering af te sluiten. De tweede trend die Zerto opmer1

Proofpoint's 2024 State of the Phish rapport: 69% van Nederlandse werknemers gokt met security van organisaties

Proofpoint's 2024 State of the Phish rapport: 69% van Nederlandse werknemers gokt met security van organisaties

Proofpoint, publiceert vandaag de tiende editie van het jaarlijkse State of the Phish-rapport. Hieruit blijkt dat meer dan twee derde (69%) van Nederlandse werknemers hun organisaties bewust in gevaar brengt. Dit leidt tot ransomware- of malware-infecties, datalekken of financieel verlies. Ondanks een lichte daling van succesvolle phishing-aanvall1

Dit zijn de verwachtingen in 2024 voor het continu veranderende dreigingslandschap

Dit zijn de verwachtingen in 2024 voor het continu veranderende dreigingslandschap

Niemand weet wat ‘The Next Big Thing’ in het dreigingslandschap wordt. Wat wel mogelijk is, is terugkijken naar 2023, opvallende gedragingen van actoren identificeren en een gefundeerde inschatting maken van wat 2024 mogelijk in petto heeft.