In een recente onthulling heeft een kwaadwillende acteur kwetsbaarheden in Microsoft Exchange Server uitgebuit om in te breken in systemen en een keylogger-malware te ontplooien. Deze aanval heeft meer dan 30 organisaties in Afrika en het Midden-Oosten getroffen, volgens het cybersecuritybedrijf Positive TechnologiesCybersecurityoplossingen zijn essentieel in het digitale tijdperk…. De slachtoffers variëren van overheidsinstanties tot financiële en onderwijsinstellingen. De eerste infiltratie dateert uit 2021.
Kwetsbaarheid in MS Exchange Server
Positive Technologies heeft de werkwijze van deze keylogger in detail beschreven, welke de inloggegevens verzamelt en opslaat in een via een specifiek pad op het internet toegankelijk bestand. De getroffen landen omvatten Rusland, de Verenigde Arabische Emiraten, Koeweit, Oman, Niger, Nigeria, Ethiopië, Mauritius, Jordanië en Libanon.
Beveiligingslekken in het Netwerk
De infiltratie maakte gebruik van bekende kwetsbaarheden genaamd ProxyShell-lekken, specifiek CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207. Microsoft heeft deze lekken in mei 2021 aangepakt, waardoor authenticatieomzeiling, privilege-escalatie en de uitvoering van externe code mogelijk werd gemaakt, wat de installatie van de keylogger op de hoofdpagina van de Exchange Server vergemakkelijkte.
Kwetsbaarheden Uitbuitingsketen
De aanval begint met de exploitatie van ProxyShell, gevolgd door stiekeme toevoeging van de keylogger op de hoofdpagina van de server, specifiek in het bestand “logon.aspx”. Deze code-injectie legt de inloggegevens vast die vervolgens worden opgeslagen in een bestand dat toegankelijk is via het internet wanneer de gebruiker op de aanmeldknop klikt.
Beschermingsmaatregelen
Het is van cruciaal belang dat organisaties hun Microsoft Exchange Server-instanties bijwerken naar de nieuwste versie om de risico’s van gegevensprivacy te verminderen. Bescherming van endpoints is essentieel voor het beveiligen van apparaten tegen evoluerende cyberdreigingen. Het is aan te raden het systeem te controleren en in de gaten te houden, met name de aanwezigheid van de keylogger in het bestand “logon.aspx”. Als er sprake is van een compromis, is het van vitaal belang om het bestand dat de gestolen accountgegevens bevat te identificeren en te verwijderen.
Incidentresponstrategieën
Zorgen voor de veiligheid van e-mailservers is van het grootste belang in het huidige digitale landschap. Organisaties moeten hun Exchange Server-instanties snel bijwerken en grondige beoordelingen uitvoeren om de integriteit van hun systemen te waarborgen. Het integreren van dreigingsinformatie in cybersecurity-operaties verbetert de detectie- en mitigatiestrategieën proactief.
De kwetsbaarheden in Microsoft Exchange Server die de inzet van keyloggers mogelijk maken, benadrukken de constante evolutie van cyberdreigingen. Op de hoogte blijven, beveiligingsupdates aannemen en samenwerken met cybersecurity-experts zijn essentiële stappen om digitale assets te beschermen en de operationele integriteit te behouden tegen opkomende dreigingen.
Bronnen: The Hacker news, SCMagazine en Tuxcare.