DIVD-2021-00001 - Microsoft on-prem Exchange Servers
| Our reference | DIVD-2021-00001 |
| Case lead | Frank Breedijk |
| Author | Lennaert Oudshoorn |
| Researcher(s) | |
| CVE(s) | |
| Product | Microsoft Exchange Server |
| Versions | Microsoft Exchange Server 2013, 2016, 2019. Versions without the March 2021 Exchange Server Security Updates are vulnerable. |
| Recommendation | Install the available patches immediately and use the published IOC's to determine if your systems have been compromised. |
| Patch status | Available |
| Status | Closed |
Samenvatting
Microsoft heeft meerdere 0-day exploits ontdekt die actief gebruikt worden om on-premises versies van Microsoft Exchange Server aan te vallen.
Wat kunt u doen?
Als u gebruik maak van on-premises Microsoft Exchange Servers installeer dan de Maart 2021 Security Updates. Security Researcher Kevin Beaumont heeft een NMAP Script gepubliceerd om te controleren of servers kwetsbaar zijn. Microsoft heeft een Security Blog gepubliceerd met meer details over de aanval en indicators of compromise om te controleren of er misbruik is gemaakt van de kwetsbaarheid. HuntressLabs geeft aan dat deze kwetsbaarheid inderdaad actief misbruikt wordt en heeft ook een aantal IoC’s die zij waargenomen hebben gepubliceerd.
Wat doen wij?
Onderzoekers van het DIVD scannen op kwetsbare systemen, met in eerste instantie een focus binnen Nederland. Voor het scannen wordt het eerder genoemde NMAP Script van Kevin Beaumont gebruikt. Aan de hand van deze scan resultaten zullen wij de beheerders van deze systemen op de hoogte proberen te stellen.
Timeline
| Date | Description |
|---|---|
| 06-01-2021 | Volexity detecteert abnormale activiteit op twee van haar klanten hun Microsoft Exchange Servers |
| 02-03-2021 | Microsoft publiceert security blog and patches |
| 02-03-2021 | Volexity publiceert Blog |
| 03-03-2021 | Onderzoekers van DIVD scannen “Nederlandse” exchange servers met deze kwetsbaarheden |
| 03-03-2021 | Start scannen rest van IPv4 space |
| 04-03-2021 | “Nederland” lijst naar NBIP gestuurd voor verder notificaties |
| 04-03-2021 | Scan rest van IPv4 space klaar |
| 07-03-2021 | 42k+ messsages verstuurd via e-mail |
| 09-03-2021 | Herscan en notificatie van alle servers die voorheen ook gescand zijn |
| 16-03-2021 | Herscan en notificatie van alle servers inclusief script die daadwerkelijk CVE-2021-26855 test |
| 15-05-2021 | Case gesloten voor CSIRT en overgedragen aan afdeling onderzoek. Zie blogpost |
Meer informatie
- Microsoft Security Blog
- Emergency Patches van Microsoft
- Volexity Blog
- NMAP Script van Kevin Beaumont
- HuntressLabs observaties & IoC’s.
- Onze test scripts
English
Summary
Microsoft has detected multiple 0-day exploits that are actively being used in attacks against on-premises versions of Microsoft Exchange Server.
What you can do
If you use on-premises Microsoft Exchange Servers install the March 2021 Security Updates. Security Researcher Kevin Beaumont has released a NMAP Script to determine if servers are vulnerable. Microsoft published a Security Blog with more details about the attack and indicators of compromise to determine if the vulnerability has been exploited. HuntressLabs indicates that this vulnerability is actively being exploited and released a few IoC’s they have observed.
What we are doing
DIVD security researchers scan the internet for vulnerable systems, initially focussing on systems within The Netherlands. Scanning is done with the NMAP Script from Kevin Beaumont. Based on these scan results we try to notify administrators of vulnerable systems.
Timeline
| Date | Description |
|---|---|
| 06-01-2021 | Volexity detected anomalous activity on two of its customers’ Microsoft Exchange Servers |
| 02-03-2021 | Microsoft releases security blog and patches |
| 02-03-2021 | Volexity publishes Blog |
| 03-03-2021 | Researchers or DIVD scan “Dutch” Exchange server for these vulnerabilities |
| 03-03-2021 | Start scan remaining IPv4 space |
| 04-03-2021 | “Dutch” list sent to NBIP for further notification |
| 04-03-2021 | Scan remaining IPv4 space, done |
| 07-03-2021 | 42k+ messsages sent via email |
| 09-03-2021 | Rescan and notifications of all previously scanned servers |
| 16-03-2021 | Rescan and notifications of all previously scanned servers, including a script that actually tests for CVE-2021-26855 |
| 15-5-2021 | Case closed for DIVD CSIRT. Case has been handed over tot research. See blogpost |
More information
- Microsoft Security Blog
- Emergency Patches from Microsoft
- Volexity Blog
- NMAP Script from Kevin Beaumont
- HuntressLabs observations & IoC’s.
- Our test scripts