Floris Hulshoff Pol - 30 september 2022

Actief misbruik van Microsoft Exchange Servers

Actief misbruik van Microsoft Exchange Servers image

Microsoft maakt melding van actief misbruik van twee kwetsbaarheden in Microsoft Exchange servers. Het zijn zogenoemde zero-daykwetsbaarheden. Dit betekent dat er nog geen beveiligingsupdates beschikbaar zijn. Er is voor zover bekend nog geen Proof of concept publiek gemaakt. De twee kwetsbaarheden met kenmerk CVE-2022-41040 en CVE-2022-41082 worden gecombineerd gebruikt om Exchange Servers aan te vallen zo met het Digital Trust Center (DTC).

Microsoft geeft aan dat Microsoft Exchange Server 2013, 2016 en 2019 kwetsbaar zijn.

Het NCSC heeft de kwetsbaarheden ook aangeduid als 'High/High'. Dit wil zeggen dat er een grote kans is dat deze kwetsbaarheden worden misbruikt en dat de potentiële schade groot kan zijn.

Wat is een Exchange Server?

Exchange is een product van Microsoft dat wordt ingezet als mailserver om e-mails te ontvangen en verzenden met vaak een eigen domein (@bedrijf.nl) als afzender. Daarnaast geeft een Exchange Server de mogelijkheid om e-mail, contacten en agenda’s te synchroniseren met verschillende apparaten.

Veel bedrijven gebruiken tegenwoordig e-mail in de cloud zoals bijvoorbeeld Office365 of Gmail, maar ondanks deze trend zijn er ook nog veel bedrijven die een eigen e-mailserver draaien. In veel gevallen wordt hiervoor Microsoft Exchange Server gebruikt.

Wat is het risico?

De combinatie van de twee kwetsbaarheden maken het voor een aanvaller mogelijk om willekeurige code te kunnen uitvoeren op een kwetsbare Exchange Server. Hiervoor dient wel eerst ingelogd te worden met een gebruikersaccount.

Omdat het niet uitmaakt welke rechten dit gebruikersaccount heeft, kan een aanvaller deze kwetsbaarheid misbruiken met elk willekeurig gebruikersaccount waar de inloggegevens van bekend zijn. Als er in het verleden inloggegevens van een gebruiker buitgemaakt zijn, dan levert dit een gevaar op. Een kwaadwillende kan dan met deze inloggegevens een Exchange Server volledig overnemen en daardoor bijvoorbeeld kwaadaardige code zoals ransomware installeren en bij je bedrijfsdata komen.

Wat kan ik doen?

Op dit moment zijn er nog geen beveiligingsupdates beschikbaar. Microsoft heeft op een blogpost alternatieve maatregelen beschikbaar gesteld waarmee misbruik kan worden voorkomen.

Het advies is om deze maatregelen (in de blogpost beschreven als Mitigations) zo spoedig mogelijk door te (laten) voeren.

Lees de blogpost op de website van Microsoft.

Axians 12/11/2024 t/m 26/11/2024 BN+BW