Hafnium Check

Een ernstig lek in Exchange, de veelgebruikte mailsoftware van Microsoft, zorgt wereldwijd voor problemen. Van de kwetsbaarheid, vermoedelijk eerst door Chinese hackers misbruikt, is nu ook misbruik gemaakt door andere cybercriminelen. Het treft duizenden bedrijven en instellingen, ook in Nederland.

Het lek geeft hackers volledige toegang tot en controle over alle mail en gebruikersdata op de server. Het Nationaal Cybersecurity Center (NCSC) waarschuwde maandag dat 40 procent van de Exchange-servers in Nederland kwetsbaar is.

Wat is hafnium?

Hafnium is de naam van een Chinese groep die zich richt op het uitbuiten van een aantal vulnerabilities in Microsoft Exchange 2013, 2016 en 2019. Door misbruik te maken van CVE-2021-26857, CVE-2021-26858 en CVE-2021-26855 verkrijgen ze toegang tot de exchange omgeving en laten ze in veel gevallen een web shell achter om op een later moment weer toegang te krijgen.

De aanval is zo succesvol doordat hackers meerdere kwetsbaarheden aan elkaar knopen, initieel maken de ongeautoriseerde aanvallers misbruik van CVE-2021-26855 door een HTTP request te sturen naar de kwetsbare exchange server om zich vervolgens succesvol te authentiseren.

Inclusief

In de controle is het volgende inbegrepen:

  • Wij controleren op de meest voorkomende IOC’s (Indicators op compromise)
  • Wij voeren een vulnerability scan uit vanaf extern op het IP-adres van de exchange server
  • We installeren een agent en monitoren de server 1 maand lang op verdachte activiteiten
  • Wij voeren met de agent een interne vulnerability scan uit op de exchange server
  • U krijgt duidelijke rapportages met remediations.
  • Afhankelijk van de uitkomst van het onderzoek geven we advies over de eventuele vervolgstappen.

Vraag nu de hafnium check aan