Exchange-exploit lijkt uitgelekt bij melding aan Microsoft
In securitykringen is onrust ontstaan doordat exploitcode voor de grote 0-days in Exchange begin dit jaar lijkt te zijn uitgelekt. Een werkende combinatie van de aaneengeregen kwetsbaarheden is door de ontdekker stilletjes ingediend bij Microsoft, maar zou in de praktijk zijn gebruikt door aanvallers. Die exploitcode is compleet met hetzelfde ingebakken wachtwoord voor de aan te brengen backdoortoegang op Exchange.
© Shutterstock.com
Shutterstock.com
Na de initiële aanvallen door Chinese staatshackers hebben diverse cybercriminelen zich gestort op de voorheen onbekende gaten in de veelgebruikte mail- en agendaserversoftware van Microsoft. Patches zijn bij de bekendmaking van de kwetsbaarheden gelijk uitgebracht, maar misbruik blijkt nu nog wat eerder gaande te zijn geweest dan eerst was gededuceerd.
Aanvallen dagen eerder
Zo heeft securitybedrijf Volexity het begin voor de gepleegde cyberspionage bijgesteld naar 3 januari, wat drie dagen eerder is dan aanvankelijk gemeld. Microsoft is volgens een tijdslijn van de ontdekking en melding van de Exchange-gaten pas op 5 januari hierover geïnformeerd. De zogeheten ProxyLogon-exploit, waarbij meerdere 0-days in combinatie worden benut, zou eerder al in handen van kwaadwillenden zijn gevallen.
Deze schrikbarende conclusie wordt mede bevestigd door onderzoek van andere securitybedrijven. Daaruit komt naar voren dat de gebruikte exploitcode niet alleen dezelfde werkwijze heeft, maar ook exact hetzelfde wachtwoord. Dat is het woord ‘orange’ dat security-onderzoeker Orange Tsai van het Taiwanese bedrijf Devcore heeft ingebouwd in zijn PoC-code (proof-of-concept). Devcore heeft in december de Exchange-gaten ontdekt en weten te combineren tot een werkende exploit om op afstand eigen code te kunnen uitvoeren op Exchange-servers.
In december ontdekt en gemaakt
Dat laatste, de keten van kwetsbaarheden die ProxyLogon wordt genoemd, is op 31 december vorig jaar gerealiseerd. Vervolgens is dit grote beveiligingsprobleem op 5 januari dit jaar gemeld aan Microsoft, compleet met de ontwikkelde exploitcode. Eind februari is, in de aanloop naar Microsofts release van noodpatches, de ProxyLogon-exploitcode gebruikt in aanvallen op Exchange.
De discussie en speculatie die nu gaande is, draait erom hoe de verantwoord gemelde kwetsbaarheden plus exploitcode daarvoor ‘naar buiten’ zijn gekomen. Mogelijk is een securitybedrijf zelf gehackt, mogelijk is het bestaan van de 0-days per ongeluk gelekt, mogelijk is een vertrouwde securitypartner van Microsoft toch niet te vertrouwen.
Vertrouwde partner?
Laatstgenoemde mogelijke oorzaak voor het lek wordt door The Wall Street Journal aangehaald. Die Amerikaanse krant meldt op basis van ingewijde bronnen dat Microsoft nu druk doende is partnerbedrijven in zijn MAPP (Microsoft Active Protections Program) door te lichten. De leden van dat beveiligingsinitiatief, nu 82 bedrijven, krijgen vooraf informatie over aankomende patches voor beveiligingsgaten.
In 2012 heeft Microsoft een Chinees securitybedrijf verwijderd uit MAPP, om het risico van informatielekkage te verminderen. Daarlangs is toen PoC-code voor een RDP-gat in Windows uitgelekt. Mogelijk dat er nu een soortgelijk incident heeft plaatsgevonden, hoewel er de laatste tijd ook gerichte aanvallen op IT-beveiligingsbedrijven en security-onderzoekers zijn geweest. Soms met succes, zoals bij MAPPS-partner FireEye. Devcore zelf meldt na intern onderzoek dat het niet is gehackt.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee