Nieuws

FBI verwijdert webshells van honderden besmette Exchange-servers in VS

woensdag 14 april 2021, 09:27 door Redactie, 11 reacties

De FBI heeft honderden besmette Microsoft Exchange-servers in de Verenigde Staten opgeschoond door aanwezige webshells op afstand te verwijderen, zonder dat beheerders van tevoren om toestemming is gevraagd, zo laat het Amerikaanse ministerie van Justitie weten. De autoriteiten hopen zo misbruik van de kwetsbare servers te voorkomen. De Exchange-servers zijn gecompromitteerd via verschillende kwetsbaarheden waarvoor Microsoft op 2 maart noodpatches uitbracht.

Die beveiligingslekken werden echter al voor het uitkomen van de updates misbruikt. Aanvallers gebruikten de kwetsbaarheden voor het installeren van webshells. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Zo zijn de webshells onder andere gebruikt voor de installatie van ransomware op de gecompromitteerde servers en het stelen van gegevens.

Ook na het uitkomen van de beveiligingsupdates bleven aanvallers de kwetsbaarheden gebruiken om ongepatchte Exchange-servers met webshells te infecteren. "Veel eigenaren van besmette systemen hebben de webshells van duizenden servers verwijderd. Anderen zijn hier niet in geslaagd en honderden van dergelijke webshells zijn nog steeds actief", aldus het ministerie. De FBI vroeg een Amerikaanse rechter om toestemming om deze webshells van Exchange-servers in de VS te verwijderen.

Het gaat dan specifiek om de webshells van een groep die in een vroeg stadium van de Exchange-kwetsbaarheden misbruik maakte om toegang tot netwerken van Amerikaanse organisaties te krijgen, zo laat het ministerie verder weten. Deze webshells waren elk voorzien van een unieke pad- en bestandsnaam, waardoor het mogelijk lastiger was voor de servereigenaren om die te vinden en verwijderen.

De FBI is van plan om alle eigenaren en beheerders van de servers waar het de webshells van heeft verwijderd te informeren. In het geval contactgegevens openbaar zijn zal de Amerikaanse opsporingsdienst een e-mail sturen. In het geval de contactgegevens niet bekend zijn, zal de FBI de provider van de betreffende eigenaar informeren, die vervolgens weer de besmette en opgeschoonde klant kan waarschuwen.

Het ministerie voegt toe dat hoewel de webshells succesvol zijn verwijderd, de onderliggende kwetsbaarheden in de Exchange-server niet zijn gepatcht. Ook kan het zijn dat andere malware nog steeds op het systeem aanwezig is. Organisaties wordt dan ook gewezen op eerder advies van Microsoft om servers op malware te controleren.

Google dicht kwetsbaarheden in Chrome waarvoor exploits openbaar zijn

Actief aangevallen zerodaylek in Windows gedicht door Microsoft

Reacties (11)

14-04-2021, 11:01 door buttonius - Bijgewerkt: 14-04-2021, 11:09

Als je je dan toch ingrijpend met de exchange installatie van anderen bemoeit, doe het dan goed:
1: Gebruik die web shell om een email bericht naar de beheerders van die exchange installatie te sturen.
Als daar geen reactie op komt, verder met stappen 2 en 3:
2: Gebruik die web shell om de ontbrekende exchange patches/updates te installeren.
3: Gebruik die web shell om de web shell te verwijderen

Wat could possibly go wrong? Just about everything...

Persoonlijk vind ik dat zelfs de FBI niet verder mag gaan dan stap 1.
Maar de FBI deed alleen stap 3, maar niet stap 2. Dat is dom; zolang de updates niet zijn aangebracht heeft stap 3 weinig zin. Je moet eerst de kraan dichtdraaien (stap 2) en dan pas gaan dweilen (stap 3).

14-04-2021, 11:33 door Anoniem

Wat zou er gebeuren bij eventuele onverhoopte schade? Ten eerste weet je niet dat de FBI dit doet en ten tweede heb je geen overeenkomst met hen. Een gevaarlijke ontwikkeling. In het verleden hebben we wel vaker goedaardige wormen gezien maar persoonlijk zie ik meer in boetes voor bedrijven tot vervolging van personen bij nalatigheid mbt beveiliging.

14-04-2021, 11:34 door Anoniem

Door buttonius: Als je je dan toch ingrijpend met de exchange installatie van anderen bemoeit, doe het dan goed:
1: Gebruik die web shell om een email bericht naar de beheerders van die exchange installatie te sturen.
Als daar geen reactie op komt, verder met stappen 2 en 3:
2: Gebruik die web shell om de ontbrekende exchange patches/updates te installeren.
3: Gebruik die web shell om de web shell te verwijderen

Wat could possibly go wrong? Just about everything...

Persoonlijk vind ik dat zelfs de FBI niet verder mag gaan dan stap 1.
Maar de FBI deed alleen stap 3, maar niet stap 2. Dat is dom; zolang de updates niet zijn aangebracht heeft stap 3 weinig zin. Je moet eerst de kraan dichtdraaien (stap 2) en dan pas gaan dweilen (stap 3).

Je suggereert dat de FBI gebruikt moet maken van een webshell die hackers op een systeem hebben gekregen?

14-04-2021, 12:20 door buttonius

Door Anoniem: 11:34

Je suggereert dat de FBI gebruikt moet maken van een webshell die hackers op een systeem hebben gekregen?

Misschien niet; ze kunnen natuurlijk ook zelf de bugs in de ongepatchte exchange servers gebruiken om een eigen web shell te installeren en die gebruiken. Het is allemaal een weinig koninklijke route.

14-04-2021, 12:23 door Anoniem

Ze zijn geen haar beter dan Google of Facebook.
Ongevraagd rommelen met andermans eigendom.
Zorgelijke Amerikaanse bully mentaliteit.
Dat kan je beter buiten de deur houden, o, ze hebben de voet al tussen de deur...

14-04-2021, 13:05 door Anoniem

Bizarre en ongehoorde actie. De FBI heeft zeker ook gelijk even een achterdeur geplaatst. Dit gaat een staartje krijgen.
Ik had zo iets wel van Microsoft verwacht maar toch niet van de FBI. Hebben ze ook zo iets met IoT gedaan?

14-04-2021, 13:45 door Anoniem

Ik snap het probleem niet echt, gratis vulnerability management. Voor de FBI heb ik toch niks te verbergen!

14-04-2021, 14:18 door Briolet

Door buttonius:
1: Gebruik die web shell om een email bericht naar de beheerders van die exchange installatie te sturen.
Als daar geen reactie op komt, verder met stappen 2 en 3:
2: Gebruik die web shell om de ontbrekende exchange patches/updates te installeren.
3: Gebruik die web shell om de web shell te verwijderen

Stap 3 kun je ook gebruiken voor het omwisselen met een shell die alleen toegang geeft aan een IP range van de FBI. (vanuit de FBI gedacht)

14-04-2021, 19:24 door Anoniem

Door Anoniem: Ik snap het probleem niet echt, gratis vulnerability management. Voor de FBI heb ik toch niks te verbergen!

En wat als het niet meer werkt? Omdat ik het raam boven open heb staan, breekt er iemand in om het raam dicht te doen.
Vreemde mentaliteit.

15-04-2021, 00:25 door Anoniem

Door Anoniem:

Door Anoniem: Ik snap het probleem niet echt, gratis vulnerability management. Voor de FBI heb ik toch niks te verbergen!

En wat als het niet meer werkt? Omdat ik het raam boven open heb staan, breekt er iemand in om het raam dicht te doen.
Vreemde mentaliteit.

Soms loop ik door de Albert Heijn en doe ook de deur dicht van een openstaande koeling.

Of de analogie passend is weet ik niet.

15-04-2021, 09:43 door Anoniem

Door Anoniem: Wat zou er gebeuren bij eventuele onverhoopte schade? Ten eerste weet je niet dat de FBI dit doet en ten tweede heb je geen overeenkomst met hen. Een gevaarlijke ontwikkeling. In het verleden hebben we wel vaker goedaardige wormen gezien maar persoonlijk zie ik meer in boetes voor bedrijven tot vervolging van personen bij nalatigheid mbt beveiliging.

Nou, daarvoor is nou net de FBI eerst langs de rechter gegaan en daarna schrijven ze iedereen aan die het betroffen heeft. Doe jezelf eens het plezier van lezen wat er staat ipv lezen wat past in je eigen straatje... Concreet houdt dat in dat de FBI dus in het openbaar verantwoording heeft afgelegd over het wat, hoe, waarom en dat een onafhankelijke 3e partij (de rechter) dit getoetst heeft aan wettelijke kaders, noodzakelijkheid, proporionaliteit etc. Die uitspraak is vast ergens op het internet terug te vinden. Er is namelijk ook wat te zeggen voor het aanpakken van cybercrime, ook als dat achter de voordeur plaats vindt.

artike;: De FBI vroeg een Amerikaanse rechter om toestemming om deze webshells van Exchange-servers in de VS te verwijderen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer