Skip to the content.

Exchange Zero-day IoC detectie script / Exchange Zero-day detection script

08 Mar 2021 - Lennaert Oudshoorn
English below

Nederlands

DIVD heeft rond de 46 duizend notificaties wereldwijd uitgestuurd van kwetsbare systemen, in het algemeen wordt er positief gereageerd en acties direct uitgezet. Herscans zijn op verzoek beschikbaar.

Microsoft heeft meerdere scripts gepubliceerd voor het detecteren van gecompromiteerde Exchange servers. Script voor het detecteren van webshells CSS-Exchange Github pagina heeft het Test-ProxyLogon.ps1 script dat de commando’s uit de eerdere Hafnium blog post automatiseerd. De Microsoft Safety Scanner en Microsoft Defender hebben een update gehad voor het detecteren en verwijderen van de malware die via deze kwetsbaarheden verspreid is.

Het Nederlandse Nationaal Cyber Security Centrum heeft het nieuws naar buiten gebracht dat, volgens eigen onderzoek, 40% van de Nederlandse Microsoft Exchange Servers nog kwetsbaar is. Zie het geplaatste nieuws bericht voor meer informatie.

Volexity en FireEye rapporteren dat al sinds begin januari van deze kwetsbaarhedenmisbruik wordt gemaakt. Vandaar dat wij het belang willen benadrukken voor organisaties om na het patchen onderzoek te verrichten op de betrefende servers om vast te stellen of er misbruik van deze kwetsbaarheden is gemaakt.

Voor meer informatie zie: case DIVD-2021-00001

English

DIVD has sent about 46 thousand notifications of vulnerable systems, responses are positive, and fixes are implemented. Rescans are on request available.

Microsoft has published multiple scripts for the detection of compromised Exchange servers. Script for detection of webshells CSS-Exchange Github page has the Test-ProxyLogon.ps1 script that automates the commands found in the earlier Hafnium blog post. The Microsoft Safety Scanner and Microsoft Defender received an update to detect and remove the malware that has been distributed using these vulnerabilities.

The Dutch Nationaal Cyber Security Centrum released the news that, according to their own research, 40% of the Dutch Microsoft Exchange Servers remain vulnerable. See the news item for more information.

Volexity and FireEye report that these vulnerabilities have been abused since early January. With this in mind, we want to stress the importance for organisations to, after patching, perform an investigation to determine if these vulnerabilities have been exploited on their systems.

For more information: case DIVD-2021-00001