Kans op misbruik Microsoft Exchange Server door POC

Een eerdere kwetsbaarheid in Microsoft Exchange Servers 2016 en 2019 is door het Nationaal Cyber Security Centrum (NCSC) opgeschaald. Er is een zogenoemde 'Proof of concept' (POC) publiekelijk beschikbaar. Deze POC beschrijft de methode om misbruik te maken van de kwetsbaarheid in deze Exchange servers. Hierdoor neemt de kans op misbruik van het beveiligingslek CVE-2021-42321 toe naar High/High; er is een grote kans dat deze kwetsbaarheden worden misbruikt en de schade kan groot zijn.

Wat is een Exchange Server?

Exchange is een product van Microsoft dat wordt ingezet als mailserver om e-mails te ontvangen en verzenden, met vaak een eigen domein (@bedrijf.nl) als afzender. Een Exchange Server is vaak in eigen beheer al dan niet via een IT-dienstverlener. Twijfel je of je hier gebruik van maakt, neem contact op met je IT-dienstverlener.

Wat is het risico?

De kwetsbaarheid maakt het mogelijk om willekeurige code uit te voeren met beheer-(administrator-)rechten op een Microsoft Exchange Server. Hiervoor dient wel eerst ingelogd te worden met een gebruikersaccount.
Omdat het niet uitmaakt welke rechten dit gebruikersaccount heeft, kan een aanvaller deze kwetsbaarheid misbruiken met elk willekeurig gebruikersaccount waar de inloggegevens van bekend zijn.
Een kwaadwillende kan op deze manier een Exchange Server volledig overnemen en daardoor bijvoorbeeld kwaadaardige code zoals ransomware installeren en bij je bedrijfsdata komen.

Wat kan ik doen?

Als je gebruik maakt van een Exchange Server dan is het advies om de beschikbare beveiligingsupdates zo snel mogelijk te (laten) installeren.

Er zijn beveiligingsupdates beschikbaar voor Exchange Server 2016 en 2019. Neem contact op met je IT-dienstverlener als je niet zelf je Exchange Server beheert en verzoek deze de updates zo snel mogelijk voor je te installeren.

Daarnaast is het advies om tweefactorauthenticatie in te richten om toegang te krijgen tot de Exchange-functionaliteiten. De misbruikmethode werkt alleen als een kwaadwillende al kan inloggen. Via tweefactorauthenticatie maak je het een aanvaller moeilijker om dit met eventueel gestolen inloggegevens te doen.

Aanvullende informatie over 'Cumulative Updates'

Let op: beveiligingsupdates voor Microsoft Exchange zijn alleen beschikbaar voor servers die een bepaalde versie van de zogenaamde “Cumulative Update” geïnstalleerd hebben. Een “Cumulative Update” brengt Microsoft per Exchange Server versie uit. Dit gebeurt elke 3 à 4 maanden. Voor Exchange Server 2013, 2016 en 2019 moet een “Cumulative Update” handmatig geïnstalleerd worden. Je kunt dus niet uitsluitend uitgaan van de automatische updates.
Lees meer informatie over de beschikbare “Cumulative Updates” en hoe je kunt nagaan welke geïnstalleerd zijn.

De beveiligingsupdate voor de hierboven beschreven kwetsbaarheid is beschikbaar voor de volgende versies:

  • Microsoft Exchange Server 2016 Cumulative Update 21
  • Microsoft Exchange Server 2016 Cumulative Update 22
  • Microsoft Exchange Server 2019 Cumulative Update 10
  • Microsoft Exchange Server 2019 Cumulative Update 11

Veilig digitaal ondernemen

Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de Basisscan Cyberweerbaarheid.