Fighting Microsoft exchange Marauder attack
Geplaatst op 12-03-2021
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 and CVE-2021-27065
Bestrijding van de Exchange Marauder Attack
Het lijkt erop dat er maanden zijn verstreken sinds het nieuws van de SolarWinds-hack werd gepubliceerd en de schade van de hack werd onthuld. Ongeveer 18.000 bedrijven over de hele wereld werden aangevallen in wat lijkt op een van de grootste georganiseerde hacks in vele jaren.
Deze hack wordt nu overschaduwd door de nieuwe recente hack, genaamd Exchange Marauder. In dit geval richtten Chinese hackers van een groep genaamd Hafnium zich op Microsoft Exchange-servers over de hele wereld. Het aantal organisaties dat door deze aanval is getroffen, heeft naar verluidt tienduizenden wereldwijd bereikt.
Volgens beveiligingsbedrijf Volexity heeft Hafnium zero-day-kwetsbaarheden in Outlook Web Access van Microsoft Exchange-servers misbruikt om zonder onderscheid niet minder dan tienduizenden e-mailservers te compromitteren.
Volgens Wired lijken de getroffen netwerken lukraak te zijn gehackt via geautomatiseerd scannen. De hackers plaatsten een 'webshell' - een op afstand toegankelijke, webgebaseerde achterdeur - op de Exchange-servers die ze uitbuitten, waardoor ze verkenningen konden uitvoeren op de doelmachines en mogelijk naar andere computers op het netwerk konden verhuizen.
Het aanvalsoppervlak van een dergelijke aanval verminderen
Dus, de vraag van een miljoen dollar, had ik deze aanval op mijn Exchange-server kunnen voorkomen?
Helaas is het antwoord complex, omdat we in dit geval naar twee aanvalsvectoren moeten kijken:
Vector 1 - De hack van de Exchange-server zelf
Vector 2 - Lateraal verplaatsen van de Exchange-server naar andere computers en servers in het netwerk
Met betrekking tot de eerste vector gebruikten de hackers zero-day-kwetsbaarheden die op de Exchange-server werden gevonden, dus het was onmogelijk om de aanval te voorkomen wanneer deze plaatsvond. Gelukkig heeft Microsoft sindsdien patches uitgebracht die de kwetsbaarheden aanpakken, dus voorlopig ben je veilig… tot de volgende zero-day-aanval. Het najagen van elke kwetsbaarheid van een applicatie is echter niet praktisch vanwege de steeds opkomende zero-day-aanvallen, en dit zorgt er ook voor dat u volledig afhankelijk bent van beveiligingspatches van uw externe softwareleverancier (en natuurlijk interne procedures om installeer de patches zo snel mogelijk).
De andere benadering is het zoeken naar een oplossing op architectuurniveau, wat betekent dat de toegang tot bronnen wordt beheerd en beschermd vanuit een gecentraliseerd netwerkgebaseerd perspectief - zowel van buitenaf als voor interne gebruikers.
Dit betekent dat wanneer u naar de aanvankelijke aanvalsvector kijkt, u naast het patchen van uw Exchange-server ook kunt overwegen deze voor de buitenwereld te verbergen door de toegang ertoe te controleren met behulp van een zero-trust network access (ZTNA) -oplossing of een VPN in combinatie met een ZTNA-oplossing.
Met betrekking tot de tweede vector is het voorkomen van zijwaartse beweging zeer complex. U hebt een combinatie van microsegmentatie nodig en toegangscontrole tussen verschillende computers en servers op het netwerk.
Een eenvoudige oplossing kan zijn om een gecentraliseerde MFA-oplossing toe te voegen die elke gebruiker, systeem, server en applicatie in het netwerk 'ziet', zodat wanneer de aanvaller probeert toegang te krijgen tot een server vanaf de geïnfecteerde machine, zijn WebShell-opdracht een MFA-verzoek dat, totdat het is goedgekeurd, zou hebben verhinderd dat de opdracht kon worden uitgevoerd.
Safe-T's ZoneZero®-oplossing
Zoals we hierboven hebben gezien, waren er twee afzonderlijke aanvalsvectoren voor de Exchange Marauder-aanval, waarvoor twee verschillende aanvalspreventieoplossingen nodig zijn.
Gelukkig voor jou hebben we een enkele oplossing voor beide aanvalsvectoren, genaamd ZoneZero. ZoneZero is een Perimeter Access Orchestration-platform dat centraal beheer van alle beveiligde toegangstechnologieën biedt en organisaties helpt om zero-trust netwerktoegang (ZTNA) te bereiken voor alle scenario's voor applicatietoegang, van buitenaf en binnen het netwerk.
Om de aanvankelijke aanvalsvector te bestrijden, kunt u ZoneZero in uw perimeter implementeren om uw Exchange-server te "verbergen" voor nieuwsgierige blikken. In deze implementatie kan ZoneZero ofwel zelfstandig werken en de toegang tot uw Exchange-server beheren met behulp van SDP-concepten, of het kan worden geïmplementeerd na uw VPN, waardoor zowel uw VPN met ZTNA-mogelijkheden als toegang tot uw Exchange-server wordt beschermd.
Om de tweede aanvalsvector te bestrijden, kunt u ZoneZero inzetten binnen uw netwerk. Hiermee kunt u gecentraliseerde MFA toevoegen aan elk bedrijfsmiddel (systeem, server, gegevens, applicatie, enz.).
Safe-T's ZoneZero gecentraliseerde MFA-benadering stelt klanten in staat om eenvoudig multi-factor authenticatie (sms, push-berichten, biometrie, telegram, WhatsApp, REST API) en identiteitsbewustzijn te integreren in alle toegangsscenario's - externe en interne gebruikers, VPN's, web en niet- web applicaties.
Met Safe-T ZoneZero® - U kunt voorkomen dat hackers uw Exchange-server hacken en zich door uw netwerk verplaatsen!
Door ZoneZero in het netwerk te implementeren, is het nu mogelijk om te voorkomen dat hackers uw bedrijfstoepassingen (zoals uw Exchange-server) rechtstreeks aanvallen en om ervoor te zorgen dat elk verzoek van een gebruiker / toepassing (bijvoorbeeld een sms-bericht verzonden naar een IT-beheerder) ) naar elke toepassing (bijvoorbeeld de Exchange-server in onze case), zal een MFA-actie aanroepen. ZoneZero zal de uitvoeringsopdracht verhinderen totdat er op de MFA is gereageerd.
Het gebruik van ZoneZero zou de eerste aanvalsvector (Exchange-serverhack) hebben voorkomen en gestopt door de toegang te controleren met behulp van ZTNA-concepten. Hetzelfde geldt voor de tweede aanvalsvector (zijwaartse beweging vanaf de Exchange-server), aangezien de IT van het bedrijf zou zijn gewaarschuwd en de alarmen zouden zijn gaan afgaan bij de eerste poging om een WebShell-opdracht uit te voeren.
Safe-T ZoneZero®
De Zakelijke voordelen op een rijtje:
ZTNA - Zero Trust Netwerk Toegang
Creëer een echte scheiding van het gegevensvlak en het besturingsvlak
Optimaliseer de kosten van implementatie en eigendom
Verenig alle toegangsscenario's
Technische voordelen:
Gebaseerd op de gepatenteerde Reverse Access-technologie van Safe-T
Bewezen en sterk beveiligde netwerkarchitectuur die is ontworpen om zero-day en N-day VPN-kwetsbaarheden te verminderen
Naadloze en snelle integratie in elke bestaande VPN-infrastructuur zonder netwerkwijzigingen
Sterke 2-Way-Message MFA als 2e verdedigingslaag na initiële VPN-authenticatie
Beperk de netwerktoegang tot bronnen totdat gebruikers het MFA-verzoek goedkeuren, na hun eerste VPN-verificatie
Dwing voorwaardelijk secundair MFA-beleid af voor elke resource afzonderlijk wanneer gebruikers toegang verlenen tot back-endservices
Doorbreek de standaard VPN Layer 2-tunnels, waardoor alleen Layer 3-4-applicatietoegang mogelijk is
Voorkom zijwaartse beweging van de eindgebruiker - geen optie voor netwerkscannen door de eindgebruiker
Geen installatie van een eindpunt vereist - met behoud van dezelfde gebruikerservaring
Meer weten? Laat je gegevens achter en we nemen zo snel mogelijk contact met je op.
Contact
Omerta Information SecurityOverwegwachter 4
3034KG Rotterdam
010 808 2503
[email protected]
