Op 2 maart publiceerde Microsoft informatie over “HAFNIUM”. De 4 kritieke vulnerabilities die zijn gevonden en onder deze naam zijn gepubliceerd, betreffen alle Exchange versies vanaf Exchange 2010 (dus Exchange 2010, -2013, -2016 en -2019) en zijn kritiek. Het gaat om:

• CVE-2021-26855,
• CVE-2021-26857,
• CVE-2021-26858,
• En CVE-2021-27065.

De vulnerabilities maken het mogelijk toegang te verschaffen tot de Exchange-server, daar code op te starten en neer te zetten. Veel van de aanvallen lijken initieel gericht op het neerzetten van een “backdoor”, via welke op een later moment meer actie kan worden ondernomen.

Wat moet ik nu doen?

Microsoft (en uiteraard ook InSpark) bevelen jou aan, als je een Exchange-server hebt draaien binnen je organisatie, om nu al het werk uit je handen te laten vallen en de volgende acties te ondernemen:

1. Te valideren of jouw Exchange-server sporen van breach vertoont (dit kun je valideren door dit script op je Exchange-servers te draaien),
2. Zijn er tekenen van een breach?:
   1. Sluit per direct je Exchange-server van het internet af voor verkeer via HTTPS (poort 443, incoming),
   2. Controleer of je een (relatief recente) backup hebt van je Exchange-server,
   3. Valideer of/hoe je deze kunt restoren op korte termijn (eventueel in een sandbox-omgeving waarin je kunt valideren of de breach op het moment van de backup al actief was),
   4. Restore de Exchange-server indien mogelijk op zo kort mogelijke termijn. Denk hierbij aan de impact op connecties van- en naar de server, en eventuele (mailbox)data die door de machine gehost is/wordt. Gelukkig wordt veel van de Exchange-gerelateerde informatie in de mailboxes en in de Active Directory opgeslagen, waardoor de impact hopelijk ook voor jouw organisatie relatief minimaal is,
3. Zijn er geen tekenen van een breach?:

1. 1. Installeer de beschikbare patches zo snel mogelijk op de Exchange-server,
   2. Valideer daarna nogmaals met het script dat er geen tekenen van een breach gevonden worden. Ja, dit klinkt overtollig, maar doe het alsjeblieft toch. We hebben gezien/gehoord dat de acties met betrekking tot deze vulnerabilities als een lopend vuurtje rond gaan.

Wij kunnen je helpen!

Let erop dat het belangrijk is deze zelfde stappen te doorlopen wanneer je alleen een Exchange hybride/management server hebt draaien, waarop geen mailboxes gehost worden. Kom je er niet uit, heb je hulp nodig of zoek je de validatie dat je dit op de juiste manier aanpakt? Neem contact op met ons!