De Hafnium lessen van het ON2IT SOC team

Door Lieuwe Jan Koning, CTO ON2IT

Met meer dan driehonderd beheerde klanten die nog steeds een substantieel aantal on-premise Microsoft Exchange-servers gebruiken, hoeven we je niet uit te leggen dat onze mSOC- en CIRT-teams nogal druk zijn sinds 2 maart 2021 (sommige van onze SOC-engineers vinden dat zelfs het understatement van het jaar).

Op 2 maart 2021 meldden onze collega’s van Volexity de in-the-wild exploitatie van vier Microsoft Exchange Server-kwetsbaarheden: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 en CVE-2021-27065. Als gevolg van deze kwetsbaarheden kunnen kwaadwillenden toegang krijgen tot blootgestelde Microsoft Exchange-servers en de installatie van aanvullende tools mogelijk maken om langdurige toegang tot de omgeving van slachtoffers te vergemakkelijken.

Zoals je weet, heeft Microsoft dezelfde dag een out-of-band beveiligingsupdate uitgebracht om deze kwetsbaarheden te verhelpen. Ze adviseerden ten zeerste om alle Microsoft Exchange-servers onmiddellijk bij te werken naar de nieuwste beschikbare gepatchte versies.

Dus vanaf 2 maart was de enige veilige veronderstelling dat een niet-gepatchte Exchange-server een gehackte server is

Vanaf dat moment begon de klok te tikken voor de beheerders van de letterlijk honderdduizenden Exchange-servers over de hele wereld (en hun risk officers of CISO’s). Exploits waren al in januari gezien, dus vanaf 2 maart was de enige veilige veronderstelling dat een niet-gepatchte Exchange-server een gehackte server is. Erger nog, een niet-gepatchte server is een server waarop alle mailboxen zouden kunnen worden geëxfiltreerd, en we moeten aannemen dat de wachtwoorden van gebruikers die inloggen op hun webmail zijn gecompromitteerd. Zelfs nu zinkt de wereldwijde impact van deze inbreuk nog steeds in.

Je kunt niet zeggen: dat zag ik niet aankomen

Maar één ding is zeker: je kunt niet zeggen dat je het niet zag aankomen. De wereldwijde Solarwinds-aanvallen in december hadden een wake-up call moeten zijn. Hoewel deze aanvallen achteraf gezien minder impactvol lijken dan de Exchange onrust waar we allemaal nog steeds mee te maken hebben, hebben ze de zwakke punten en dezelfde patronen blootgelegd die we de afgelopen weken hebben gezien in gesprekken met onze klanten.

De publicatie van extreem risicovolle CVE’s markeert een hectische periode, zowel in het SOC als in de IT-afdelingen van onze klanten

We kennen inmiddels allemaal de routine. De publicatie van extreem risicovolle CVE’s markeert een hectische periode, zowel in het SOC als in de IT-afdelingen van onze klanten. Wat is de impact? Waar zijn de servers? Hoe effectief is de remediation van de fabrikant? Zijn mijn beveiligingsinstrumenten en playbooks ingesteld voor het opsporen en herstellen van exploits? Ben ik al gecompromitteerd? Hoe zoek ik naar indicatoren van kwaadwillende actoren?

Sommige van onze klanten reageerden met grote snelheid en effectiviteit, anderen hadden meer actieve ondersteuning nodig van onze SOC-teams. In sommige gevallen, bijvoorbeeld voor enkele klanten die hun Exchange servers expliciet niet in hun managed services contracten met ons hadden ondergebracht, hebben we server agents en een uitgebreide SOC-onboarding geregeld in een uiterst krap tijdschema, om de onmiddellijke bedreigingen tegen te gaan en uitgebreidere preventie te bieden.

Belangrijke lessen

Maar een paar belangrijke lessen uit de Solarwinds (en Citrix, en ZScaler, en eerdere aanvallen) worden nog beter zichtbaar in het licht van de Exchange-kwetsbaarheden

De eerste (en elke) keer het juiste doen

Er is geen excuus voor een slordige uitvoering van patch- en updatebeheer. Nooit.

Je kunt niet vechten tegen wat je niet ziet

Gebrek aan zichtbaarheid in uw infrastructuur maakt het uiterst moeilijk om kwetsbaarheden te detecteren die worden uitgebuit, tegenstanders te vinden die toegang hebben tot Microsoft Exchange Servers en die tools te installeren om langdurige toegang tot uw omgevingen te vergemakkelijken.

Wanneer je geen Cortex XDR-agents (of gelijkwaardige agents) op kwetsbare servers hebt en geen SSL inbound inspection gebruikt voor al het verkeer dat bestemd is voor Exchange-servers met SSL of TLS, wordt het veel moeilijker om bedreigingen te detecteren en te voorkomen. Zeker in deze Hafnium-zaak: het is relatief eenvoudig voor een aanvaller om zijn sporen na een inbraak uit te wissen. Ook voor scriptkiddies, aangezien exploit-tools inmiddels gratis beschikbaar zijn op GitHub.

Dus zelfs als de server zelf nu is gepatcht, en er zijn geen tekenen van een eerdere hack, kan de hacker kan nog steeds toegang hebben gehad, en wellicht een webshell of andere malicieuze tools geïnstalleerd hebben geïnstalleerde. Maar welke? Je moet ze allemaal vinden.

Ga er niet vanuit dat er een vertrouwensrelatie bestaat tussen servers in je infrastructuur

Een van de basisprincipes van onze Zero Trust-strategie is dat je een passend toegangsbeleid en beveiligingscontroles moet opzetten voor alle logische segmenten in je infrastructuur, of zoals wij zeggen: alle protect surfaces.

Je moet deze beleidsregels niet alleen afdwingen, maar ze ook continue inspecteren. Je kunt een zero-day-aanval misschien niet stoppen, maar je kunt de impact aanzienlijk verminderen door verkeer van exploits die voet aan de grond hebben gekregen in het ene segment van uw netwerk naar andere segmenten te blokkeren wanneer dat verdacht is.

Beleid is alleen effectief als het daadwerkelijk uit te voeren is in instrumenten zoals firewalls

Beveiligingsbeleid veroudert. Je hebt geautomatiseerde en rigoureuze tools en procedures nodig om ervoor te zorgen dat firewallregelsets, cloudconfiguraties, gebruikersbeheer en mogelijkheden voor externe toegang worden geoperationaliseerd in overeenstemming met uw risicobeleid en best practices. Dit omvat uiteraard het juiste gebruik van maatregelen zoals DNS-monitoring van bedreigingen, URL-filtering of inbraakpreventie en SSL-decodering.

Klanten van onze Managed Prevention and Compliance (MPC) service kunnen er zeker van zijn dat de voortdurende controle van hun operationele maatregelen aan hun beleid iets is dat we zeer serieus nemen in ons SOC.

De meeste van deze lessen zijn niet nieuw

We geloven en investeren in nieuwe manieren om onbekende aanvallen en aanvallers te verslaan, zoals zichtbaarheid van het protect surface van buitenaf, AI-gebaseerde gedragsanalyses en de automatisering van repetitieve workflows. Maar deze tools zullen nooit effectief zijn als we niet leren van de lessen van vandaag.

Lieuwe Jan Koning
CTO ON2IT