image

Microsoft Exchange-servers doelwit van DearCry-ransomware

vrijdag 12 maart 2021, 09:50 door Redactie, 6 reacties

Criminelen gebruiken kwetsbaarheden in Exchange om zo de mailservers van organisaties met ransomware te infecteren, zo waarschuwt Microsoft. Aanvallers weten via kwetsbaarheden toegang tot Exchange-servers te krijgen en installeren vervolgens de ransomware. Microsoft maakte vorige week beveiligingsupdates voor de kwetsbaarheden beschikbaar, maar wereldwijd blijken nog vele tienduizenden servers ongepatcht te zijn.

Zo kunnen aanvallers de DearCry-ransomware verspreiden, die door Microsoft DoejoCrypt wordt genoemd. Volgens Phillip Misner van Microsoft gaat het om gerichte ransomware-aanvallen waarbij de aanvallers handmatig de aanval uitvoeren en ransomware op de servers van getroffen organisaties installeren. Ook verschillende beveiligingsonderzoekers laten op Twitter weten dat de Exchange-kwetsbaarheden worden gebruikt voor de verspreiding van ransomware.

Organisaties die de beveiligingsupdates hebben geïnstalleerd worden opgeroepen om toch hun servers op eventuele backdoors te controleren. Het is namelijk mogelijk dat aanvallers al voor het uitrollen van de patches toegang tot de servers hebben gekregen en zo een backdoor konden installeren. Het patchen van Exchange-servers zal deze backdoors niet verwijderen, waardoor aanvallers toegang tot de servers blijven houden. Microsoft Defender kan de DearCry-ransomwaren inmiddels herkennen en blokkeren.

Image

Reacties (6)
12-03-2021, 10:45 door walmare
Veel interessante zijn de backdoors en de ransomware die nog niet is gevonden.
Nooit gedacht dat de buitenwereld er voor gaat zorgen dat we van deze software afscheid gaan nemen.
12-03-2021, 12:36 door Anoniem
Door walmare: Veel interessante zijn de backdoors en de ransomware die nog niet is gevonden.
Nooit gedacht dat de buitenwereld er voor gaat zorgen dat we van deze software afscheid gaan nemen.

Precies, je ziet nu ook pas hoe extreem slecht het patchbeleid is van veel organisaties, reken er maar op dat er heel wat webshells actief blijven en aangezien exchange servers vaak buitenproportioneel veel rechten hebben out-of-the-box zullen eventuele aanvallers ook veel mogelijkheden hebben om zich verder door netwerken te verspreiden.

Het word een keer tijd dat er ook strafrechterlijk kan worden ingegrepen als management keuzes maakt die veel risico voor persoonsgegevens van externe partijen met zich meebrengt, op dit moment zeg je sorry en kom je er gewoon mee weg: dat is een perverse prikkel om niets aan je ICT te doen.
12-03-2021, 14:27 door Anoniem
Beste @walmare dat geldt voor alle software! Ook de open source varianten. Elke nog niet gevonden backdoor of ransomware is interessant.

Je probeert weer eens te doelen op alleen Microsoft producten, maar je slaat de plank wat dat betreft helaas weer eens mis. Wel goed geprobeerd weer. Chapeau!
12-03-2021, 17:34 door walmare
Door Anoniem: Beste @walmare dat geldt voor alle software! Ook de open source varianten. Elke nog niet gevonden backdoor of ransomware is interessant.

Je probeert weer eens te doelen op alleen Microsoft producten, maar je slaat de plank wat dat betreft helaas weer eens mis. Wel goed geprobeerd weer. Chapeau!
Het onderwerp is niet open source maar Microsoft Exchange en dat is zich zelf aan het vernietigen.
13-03-2021, 11:22 door Anoniem
Door walmare:
Door Anoniem: Beste @walmare dat geldt voor alle software! Ook de open source varianten. Elke nog niet gevonden backdoor of ransomware is interessant.

Je probeert weer eens te doelen op alleen Microsoft producten, maar je slaat de plank wat dat betreft helaas weer eens mis. Wel goed geprobeerd weer. Chapeau!
Het onderwerp is niet open source maar Microsoft Exchange en dat is zich zelf aan het vernietigen.

Nee Microsoft Exchange is alle mail aan het overdragen naar outlook.com, en als we dan toch alle mail naar Azure/Microsoft brengen, doen we alle VM's ook meteen en kunnen we binnenkort Vmware ook afschrijven, samen met Citrix en Ivanti, want alles draait bij Microsoft in de cloud.

Dat is wel goed omdat het patchbeleid daar nogal strak is, maar ja, als het misgaat, dan zijn we allemaal de klos in plaats van een paar schrapende managers en de pechvogels die daar de IT moeten doen.
13-03-2021, 14:59 door Anoniem
Door Anoniem:
Door walmare:
Door Anoniem: Beste @walmare dat geldt voor alle software! Ook de open source varianten. Elke nog niet gevonden backdoor of ransomware is interessant.

Je probeert weer eens te doelen op alleen Microsoft producten, maar je slaat de plank wat dat betreft helaas weer eens mis. Wel goed geprobeerd weer. Chapeau!
Het onderwerp is niet open source maar Microsoft Exchange en dat is zich zelf aan het vernietigen.

Nee Microsoft Exchange is alle mail aan het overdragen naar outlook.com, en als we dan toch alle mail naar Azure/Microsoft brengen, doen we alle VM's ook meteen en kunnen we binnenkort Vmware ook afschrijven, samen met Citrix en Ivanti, want alles draait bij Microsoft in de cloud.

Dat is wel goed omdat het patchbeleid daar nogal strak is, maar ja, als het misgaat, dan zijn we allemaal de klos in plaats van een paar schrapende managers en de pechvogels die daar de IT moeten doen.
Voordeel is wel dat ze daar geen printerdrivers hebben waar windows zo vaak op stuk loopt omdat alles in kernel mode draait.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.