Actief misbruik van Microsoft Exchange Servers

UPDATE 4 jan 2023

Nog ruim 1.500 kwetsbare Exchange servers in Nederland

Cybersecurityonderzoeksbureau Shadowserver Foundation heeft onderzocht dat er in Nederland nog zo'n 1.500 Microsoft Exchange servers kwetsbaar zijn voor de ProxyNotShell-aanval. Deze kwetsbaarheid wordt aangeduid als CVE-2022-41082.

Het overgrote deel van de Nederlandse bedrijven met een kwetsbare Exchange Server heeft de afgelopen weken een waarschuwingsbericht ontvangen van het Digital Trust Center. Hierin worden technisch beheerders opgeroepen om zo snel mogelijk de beschikbare beveiligingsupdates te (laten) installeren om aanvallen op bedrijven (of ketens) te voorkomen. 

Lees meer over dit soort waarschuwingsberichten en het belang van een up-to-date security.txt-bestand voor het ontvangen van waarschuwingsberichten.
 


UPDATE 21 dec 2022

Microsoft biedt detectietool aan

Microsoft heeft laten weten dat het niet langer aanraadt om de mitigerende maatregelen tegen CVE-2022-41040 door te voeren. Deze maatregelen zijn daarom uit het beveiligingsadvies verwijderd.

Microsoft heeft een tool beschikbaar gesteld die het mogelijk maakt om malware op te sporen en te verwijderen van Windows computers:

Advies is nog steeds om de beveiligingsupdates zo snel mogelijk te (laten) installeren: 

 


UPDATE 22 nov 2022

Proof of Concept is verschenen

Er is inmiddels een Proof of Concept code publiekelijk verschenen. Deze beschrijft de methode om misbruik te maken van de eerder geconstateerde kwetsbaarheden in Microsoft Exchange Servers.

Dit nieuws maakt het extra urgent om het eerdere advies zo snel mogelijk op te volgen: update naar de laatst beschikbare versie. Ook de mitigerende maatregelen die Microsoft eerder heeft uitgebracht blijven van kracht.

Naast het toepassen van een specifieke URL request rewrite-rule adviseert Microsoft met klem om PowerShell-toegang voor standaardgebruikers uit te schakelen. Lees meer over het uitschakelen van PowerShell-toegang.

 


UPDATE 9 nov 2022

Updates beschikbaar voor Microsoft Exchange Servers

Microsoft heeft nieuwe beveiligingsupdates uitgebracht om de kwetsbaarheden in Microsoft Exchange Servers te verhelpen. Het advies is om zo snel mogelijk de updates te (laten) installeren. De updates voor de verschillende CVE's vind je hier:

 


UPDATE 6 okt 2022

Microsoft publiceert nieuwe maatregelen

Het eerder gedeelde handelingsperspectief (toepassen van een specifieke rewrite-rule) blijkt opnieuw te kunnen worden omzeild. Microsoft heeft nieuwe maatregelen gepubliceerd om misbruik van kwetsbaarheid CVE-2022-41040 te voorkomen. Aangeraden wordt om de vernieuwde maatregelen op korte termijn door te voeren.
 


UPDATE 5 okt 2022

Microsoft werkt alternatieve maatregelen bij

Microsoft heeft het handelingsperspectief bijgewerkt in de blogpost. In de publicatie is een rewrite-rule opgenomen en een script om deze rewrite-rule toe te passen. Hiermee kan misbruik van CVE-2022-41040 worden gemitigeerd.
 


Oorspronkelijk bericht 30 september

Microsoft maakt melding van actief misbruik van twee kwetsbaarheden in Microsoft Exchange servers. Het zijn zogenoemde zero-daykwetsbaarheden. Dit betekent dat er nog geen beveiligingsupdates beschikbaar zijn. Er is voor zover bekend nog geen Proof of concept publiek gemaakt. De twee kwetsbaarheden met kenmerk CVE-2022-41040 en CVE-2022-41082 worden gecombineerd gebruikt om Exchange Servers aan te vallen.

Microsoft geeft aan dat Microsoft Exchange Server 2013, 2016 en 2019 kwetsbaar zijn.

Het NCSC heeft de kwetsbaarheden ook aangeduid als 'High/High'. Dit wil zeggen dat er een grote kans is dat deze kwetsbaarheden worden misbruikt en dat de potentiële schade groot kan zijn.

Wat is een Exchange Server?

Exchange is een product van Microsoft dat wordt ingezet als mailserver om e-mails te ontvangen en verzenden met vaak een eigen domein (@bedrijf.nl) als afzender. Daarnaast geeft een Exchange Server de mogelijkheid om e-mail, contacten en agenda’s te synchroniseren met verschillende apparaten.

Veel bedrijven gebruiken tegenwoordig e-mail in de cloud zoals bijvoorbeeld Office365 of Gmail, maar ondanks deze trend zijn er ook nog veel bedrijven die een eigen e-mailserver draaien. In veel gevallen wordt hiervoor Microsoft Exchange Server gebruikt.

Wat is het risico?

De combinatie van de twee kwetsbaarheden maken het voor een aanvaller mogelijk om willekeurige code te kunnen uitvoeren op een kwetsbare Exchange Server. Hiervoor dient wel eerst ingelogd te worden met een gebruikersaccount.

Omdat het niet uitmaakt welke rechten dit gebruikersaccount heeft, kan een aanvaller deze kwetsbaarheid misbruiken met elk willekeurig gebruikersaccount waar de inloggegevens van bekend zijn. Als er in het verleden inloggegevens van een gebruiker buitgemaakt zijn, dan levert dit een gevaar op. Een kwaadwillende kan dan met deze inloggegevens een Exchange Server volledig overnemen en daardoor bijvoorbeeld kwaadaardige code zoals ransomware installeren en bij je bedrijfsdata komen.

Wat kan ik doen?

Op dit moment zijn er nog geen beveiligingsupdates beschikbaar. Microsoft heeft op een blogpost alternatieve maatregelen beschikbaar gesteld waarmee misbruik kan worden voorkomen.

Het advies is om deze maatregelen (in de blogpost beschreven als 'Mitigations') zo spoedig mogelijk door te (laten) voeren.

 

Veilig digitaal ondernemen

Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de Basisscan Cyberweerbaarheid.