Allerede den 5. januar i år skal Microsoft ha blitt varslet om to av de fire Exchange-sårbarhetene som utnyttes i omfattende angrep mot virksomheter over hele verden. Det var først i forrige uke, nesten to måneder senere, at Microsoft kom med sikkerhetsoppdateringer som fjerner sårbarhetene.
Bakgrunn:
Microsoft lapper fire kritiske sårbarheter
Sikkerhetsbloggeren Brian Krebs har laget en tidslinje for det hele. Den starter med en sikkerhetsforsker i selskapet Devcore som den 5. januar varslet Microsoft om en RCE-kjede (Remote Code Execution), altså sårbarheter som åpner for fjernkjøring av kode:
Just report a pre-auth RCE chain to the vendor. This might be the most serious RCE I have ever reported! Hope there is no bug collision or duplicate?
— Orange Tsai ? (@orange_8361) January 5, 2021
Orange Tsai og Devcore er kreditert i Microsofts omtale av to av sårbarhetene, så det er sannsynlig at opplysningene fra Orange Tsai stemmer.
Microsoft til storaksjon mot kinesiske hackere
Flere varsler i januar
Selskapet Volexity skal ha oppdaget angrep som utnyttet de samme sårbarhetene den 6. januar, men så senere spor av angrep som hadde foregått så tidlig som den 3. januar. Offisielt ble ikke Microsoft varslet av Volexity før den 2. februar.
Også danske Dubex oppdaget angrep mot noen av selskapets klienter den 18. januar. Selskapet varslet Microsoft om funnene den 27. januar.
Til tross for flere varsler om pågående angrep, planla Microsoft opprinnelig å komme med sikkerhetsoppdateringen først i dag, den 9. mars, sammen de andre, månedlige sikkerhetsoppdateringene til selskapets produkter.
Angrepene endret karakter
Inntil slutten av februar skal angrepene ha framstått som rettet mot utvalgte ofre. Men så dreide de om til en global masseskanning og stor aktivitet for å installere webshell-baserte bakdører på de sårbare serverne.
Enkelte diskuterer nå, i ulike fora, om Microsoft kunne ha gjort noe annerledes. Selskapet har omfattende og tidkrevende rutiner for å teste at programvareoppdateringer ikke fører til at noe slutter å virke. Derfor tar det ofte ganske lang tid for Microsoft å komme med sikkerhetsfikser som fjerner sårbarheter selskapet har oppdaget eller blitt varslet om.
Men i dette tilfellet dreier det seg om aktive angrep med stort skadepotensial, ikke bare en hittil ukjent sårbarhet. Blant spørsmålene noen stiller, blant annet i kommentarfeltet under Krebs' blogginnlegg, er om skaden kunne ha blitt redusert dersom Microsoft på et tidligere tidspunkt hadde gått ut og fortalt om de pågående angrepene.
Les også:
Det europeiske banktilsynet er rammet av Exchange-angrepene
Selv uten sikkerhetsfikser tilgjengelig, er det ofte mye som kan gjøres for å redusere faren for angrep. Microsoft beskriver noe av dette i omtalen av Exchange-sårbarhetene, blant annet det å begrense tilgangen til port 443 på Exchange-serveren. En forutsetning for angrepene er «untrusted» tilgang til nettopp denne porten.
Hafnium ikke de eneste
I utgangspunktet var det bare den antatt kinesiske hackergruppen Hafnium som ble omtalt i forbindelse med angrepene, men til Technology Review sa nylig Katie Nickels i cybersikkerhetsselskapet Red Canary at Hafnium på ingen måte er alene om å utnytte Exchange-sårbarhetene.
– Det et minst fem ulike aktivitetsklynger som ser ut til å utnytte sårbarhetene, sier Nickels.
I praksis dreier det seg om observerte angrep som skiller seg ut fra de øvrige, blant annet ved teknikkene og angrepskoden som benyttes.
Kripos: – Økning i datakriminalitet med krav om løsepenger
