Nederlandse Exchange Servers van Microsoft zijn nog steeds kwetsbaar. Dat geldt voor 40% van de servers die ermee werken. Dat stelt het nationaal Cyber Security Centrum NCSC.
Het gaat om de gevolgen van de zero day-kwetsbaarheden en hacks van de afgelopen week in de on premise versies van Exchange Server 2010, 2013, 2016 en 2019 en de hack op de patches die daarna plaatsvond in de on premise Exchange migratietool naar de cloud.
Het NCSC benadrukt dat het van groot belang is om Microsoft Exchange Servers zo snel mogelijk te patchen. Sinds vorige week werd duidelijk dat ook Nederlandse organisaties worden aangevallen.
Authenticatie omzeilen
Kwaadwillenden kunnen zo op afstand volledige controle krijgen over de server. Wanneer de kwetsbaarheden gezamenlijk misbruikt worden, is het mogelijk om op de Microsoft Exchange Server authenticatie te omzeilen en externe (malware) code uit te voeren. Dit betekent dat kwaadwillenden bijvoorbeeld alle e-mailcommunicatie en de Global Address List kunnen inzien. En niet alleen dat: de aanvallers kunnen dan de mails dan ook kopiëren en verzenden naar een extern adres voor verder misbruik.
Door installatie van deze malware krijgen aanvallers langdurige externe toegang tot de Exchange omgeving. Dat is ook zo als je nadien de uitgebrachte patches installeert.
Uit eigen onderzoek van het NCSC blijkt dat op meer dan 40% van de Nederlandse Microsoft Exchange servers de beschikbare updates nog niet geïnstalleerd zijn. Gezien de hoge kans op misbruik van de kwetsbaarheden met mogelijk grote schade tot gevolg, adviseert het NCSC dringend om de updates op Microsoft Exchange Servers direct te installeren. Controleer vervolgens uw Exchange-omgeving om eerder misbruik uit te sluiten.
Wat kan ik doen?
Installeer zo snel mogelijk de door Microsoft uitgebrachte patches. Op de website van Microsoft is hierover meer informatie te vinden. Let hierbij vooral op de aangeraden correcte wijze van het installeren van de updates.
Microsoft geeft aan dat het handmatig installeren van de updates, zonder beheerdersrechten, mogelijk problemen kan veroorzaken. Neem contact op met de IT-dienstverlener als de Exchange Server niet in eigen beheer is. Verzoek de IT-dienstverlener de updates zo snel mogelijk te installeren.
Neem meteen maatregelen als blijkt dat de organisatie nog niet in staat is om de door Microsoft recent uitgebrachte patches toe te passen. Deze maatregelen zijn geen vervanging van de patches. Het is dan ook zeer sterk aan te raden om deze alsnog zo spoedig mogelijk te installeren. Neem aanvullende preventiemaatregelen monitor die adekwaat. Laat de server(s) controleren op mogelijke compromittatie.
Wat moet ik doen?
- Laat uw systeem controleren; zorg voor adequate backups
- Reset uw wachtwoorden en gebruikersgegevens
- Doe aangifte bij de Politie
- Overweeg een melding te doen bij de Autoriteit Persoonsgegevens
- Herstel uw systeem of richt dit opnieuw in
Ga er vanuit dat ook de oudere versies van Exchange Server kwetsbaar zijn. Deze zijn namelijk End of Life en krijgen geen ondersteuning meer. Vervang die dus ook zo snel mogelijk.
Cumulatieve update
Let op: Beveiligingsupdates voor Microsoft Exchange Server zijn alleen beschikbaar voor servers die een bepaalde versie van de zogenaamde ‘Cumulatieve Update’ geïnstalleerd hebben. Om de drie tot vier maanden brengt Microsoft een ‘Cumulatieve Update’ uit. Deze update moet voor de versie van Exchange Server 2013, 2016 en 2019 handmatig geïnstalleerd worden.
Vertrouw dus niet enkel op het automatische updateproces van Microsoft Exchange Server. Meer informatie vindt u op de Microsoft website.
De beveiligingsupdates voor de hierboven beschreven kwetsbaarheden zijn beschikbaar voor de volgende versies:
- Microsoft Exchange Server 2013 Cumulative Update 23
- Microsoft Exchange Server 2016 Cumulative Update 18
- Microsoft Exchange Server 2016 Cumulative Update 19
- Microsoft Exchange Server 2019 Cumulative Update 7
- Microsoft Exchange Server 2019 Cumulative Update 8
Lees ook:
- Live hack Microsoft Exchange migratietool
- De ‘onbesmettelijke’ Mac bestaat niet
