Aanvallen op Microsoft Exchange in augustus met 170% gegroeid

Volgens Kaspersky-experts houdt deze schrikbarende groei verband met eerder bekendgemaakte kwetsbaarheden in het product

| Kaspersky | 3 min | 08 september 2021 10:54
Afbeelding: Unieke gebruikers die te maken kregen met aanvallen op MS Exchange | Copyright: Kaspersky
Het aantal gebruikers dat is aangevallen door exploits gericht op kwetsbaarheden in Microsoft Exchange-servers, geblokkeerd door Kaspersky-producten, is in augustus met 170% gegroeid van 7.342 naar 19.839 gebruikers. In Nederland ging het in de periode van maart tot en met augustus dit jaar om in totaal 928 gebruikers. Volgens Kaspersky-experts houdt deze schrikbarende groei verband met het toenemende aantal aanvallen dat misbruik probeert te maken van eerder bekendgemaakte kwetsbaarheden in het product, en het feit dat gebruikers kwetsbare software niet meteen patchen, waardoor het potentiële aanvalsoppervlak groter wordt.

Kwetsbaarheden in Microsoft Exchange Server hebben dit jaar voor veel chaos gezorgd. Op 2 maart 2021 werd het publiek op de hoogte gebracht van 'in-the-wild' exploitaties van zero-day kwetsbaarheden in Microsoft Exchange Server, die vervolgens werden uitgebuit in een golf van aanvallen op organisaties wereldwijd. Later in het jaar patchte Microsoft ook een reeks van de zogenaamde ProxyShell-kwetsbaarheden - CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207. Samen vormen deze kwetsbaarheden een kritieke bedreiging en stellen ze een hacker in staat om authenticatie te omzeilen en code uit te voeren als een geautoriseerde gebruiker. Hoewel de patches voor deze kwetsbaarheden al enige tijd geleden zijn uitgebracht, aarzelden cybercriminelen niet om er misbruik van te maken. In de afgelopen zes maanden zijn 74.274 Kaspersky-gebruikers op exploits voor MS Exchange-kwetsbaarheden gestuit.

Bovendien waarschuwde de Cybersecurity and Infrastructure Security Agency (CISA) in de VS op 21 augustus dat ProxyShell-kwetsbaarheden nu actief worden misbruikt door cybercriminelen in een recente golf van aanvallen. In het op 26 augustus gepubliceerde advies legt Microsoft uit dat een Exchange-server kwetsbaar is als er geen Cumulative Update (CU) op draait met ten minste de Security Update (SU) van mei.

Volgens de uitgelezen resultaten van Kaspersky werden in de laatste week van de zomer dagelijks meer dan 1.700 gebruikers aangevallen met ProxyShell-exploits, waardoor het aantal aangevallen gebruikers in augustus 2021 met 170% is gestegen ten opzichte van juli 2021. Dit weerspiegelt het grootschalige probleem dat deze kwetsbaarheden vormen, als ze ongepatcht blijven.

Evgeny Lopatin, Security Researcher bij Kaspersky: "Het feit dat deze kwetsbaarheden actief worden misbruikt, komt niet als een verrassing. Vaak vormen 1-day kwetsbaarheden, de kwetsbaarheden die al bekend zijn gemaakt en waarvan de ontwikkelaars patches hebben uitgebracht, een nog grotere bedreiging. Dit omdat ze bekend zijn bij een breder scala aan cybercriminelen die hun geluk beproeven bij het binnendringen in elk netwerk waar ze hun handen op kunnen krijgen. Deze actieve toename van aanvallen toont wederom aan waarom het zo essentieel is om kwetsbaarheden zo snel mogelijk te patchen zodat netwerken niet worden gecompromitteerd. We raden ten zeerste aan om het meest recente advies van Microsoft op te volgen om eventuele grotere risico's te beperken".

Kaspersky-producten beschermen met Behavior Detection- en Exploit Prevention-componenten tegen exploits die misbruik maken van ProxyShell-kwetsbaarheden en detecteren exploits met de volgende benamingen:
  • PDM : Exploit.Win32.Generic
  • HEUR : Exploit.Win32.ProxyShell.*
  • HEUR : Exploit.*.CVE-2021-26855.*

Beschermen tegen aanvallen

Om bescherming te bieden tegen aanvallen die misbruik maken van de hierboven genoemde kwetsbaarheid, raadt Kaspersky aan om de updates van Exchange Server zo snel mogelijk uit te voeren. Richt verder de beveiligingsstrategie op het detecteren van lateral movement en exfiltratie van gegevens naar het internet. Besteed hierbij speciale aandacht aan uitgaand verkeer om verbindingen met cybercriminelen te detecteren. Maak ook regelmatig back-ups van gegevens en zorg ervoor dat je er in noodgevallen snel bij kunt. Het gebruik van oplossingen zoals Kaspersky Endpoint Detection and Response en de Kaspersky Managed Detection and Response-service, helpen om een aanval in een vroeg stadium te identificeren en te stoppen, voordat de aanvallers hun doel bereiken. Als laatste is het aan te raden om gebruik te maken van een betrouwbare endpoint security-oplossing zoals Kaspersky Endpoint Security for Business (KESB), deze is opgebouwd uit exploit preventie, gedragsdetectie en een remediation engine die malafide acties kan terugdraaien. KESB heeft ook verdedigingsmechanismen die kunnen voorkomen dat cybercriminelen het systeem verwijderen.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over Kaspersky

Kaspersky is een wereldwijd opererend cybersecuritybedrijf opgericht in 1997. Zowel consumenten, overheidsinstanties als bedrijven vertrouwen op de uitgebreide expertise op het vlak van dreigingsinformatie en de meest geavanceerde beveiligingsoplossingen en -diensten van Kaspersky ter bescherming van kritieke infrastructuren en (eco)systemen.
Meer over Kaspersky

Disclaimer

Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20191029200614.jpg
Drive value with data
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191030101402.jpg
De grootste Nederlandse site over Android
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191029224512.jpg
Het no-nonsense internetbureau
20191030103431.png
Conference by app developers, for app developers!
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.