Ernstig probleem op Microsoft Exchange Servers, patch deze zo snel mogelijk.
De Microsoft Exchange kwetsbaarheden, u heeft er inmiddels vast wel van gehoord in het nieuws of via collega’s. Wellicht vraagt u zich hierbij af wat Microsoft Exchange precies inhoudt. Exchange is de e-mailserver oplossing van Microsoft. Het is software dat op een server draait om e-mail te faciliteren. Alle e-mail van uw bedrijf wordt opgeslagen op de server waarop Exchange geïnstalleerd is.
Op 6 januari 2021 heeft Microsoft de eerste aanval op een kwetsbare Exchange Server waargenomen. Volgens Microsoft is de eerste aanval uitgevoerd door een staat gesponsorde actor uit China, genaamd HAFNIUM. Een staat gesponsorde actor is in dit geval een groep hackers die uit opdracht van de overheid werken. Vaak handelen zij uit politieke, commerciële of militaire interesses uit het land van origine.
Ernst van de kwetsbaarheden
De kwetsbaarheden in Microsoft Exchange Servers bestaan uit vier verschillende varianten die in combinatie, leiden tot Remote Code Execution (RCE). Dit houdt in dat aanvallers op afstand malafide code uit kunnen voeren op de systemen. Onderstaande CVE-nummers zijn gekoppeld aan de betreffende kwetsbaarheden:
De kwetsbaarheden krijgen een score van maar liefst 9.8/10 CRITICAL op de CVSS 3.0 schaal toegewezen.
Situatie in Nederland op dit moment?
Deze week hebben wij vanuit RedTeam een inventarisatie uitgevoerd op alle publiek benaderbare Microsoft Exchange Servers in Nederland die kwetsbaar zijn. Het resultaat van deze actie is dat er nog steeds honderden Nederlandse bedrijven op dit moment “de achterdeur” wagenwijd open hebben staan en vatbaar zijn voor kwaadwillenden die hiervan misbruik maken. Tussen de betreffende kwetsbare organisaties troffen we diverse (groot) MKB-bedrijven, maar bijvoorbeeld ook een gemeente en een ziekenhuis aan.
Op 10 maart is een voorbeeld aanval gepubliceerd in de vorm van een Proof of Concept (PoC), waarmee de kwetsbaarheden kunnen worden uitgebuit. Deze code is publiek beschikbaar. Meerdere instanties bevestigen dat deze succesvol werkt en we verwachten dat op zeer korte termijn het misbruik van kwetsbare Microsoft Exchange Servers snel zal toenemen.
Impact op organisaties
Wat betekenen deze kwetsbaarheden voor bedrijven of organisaties die hiervoor kwetsbaar zijn? De impact hiervan kan zeer ernstig zijn. Kwaadwillenden kunnen via deze kwetsbaarheden namelijk gemakkelijk ongeautoriseerd toegang krijgen tot het systeem, e-mail en vertrouwelijke gegevens. Deze toegang is te verkrijgen via enkel het IP-adres van uw Microsoft Exchange Server dat publiek te bereiken is via het internet.
Aanbevelingen
Als u gebruik maakt van een eigen Microsoft Exchange Server, installeer dan zo snel mogelijk de Maart 2021 Security Updates van Microsoft. Daarnaast raden wij aan om uw eigen Exchange Servers te controleren met behulp van een speciaal hiervoor gemaakt NMAP script. Voor meer informatie omtrent de vervolgstappen voor uw organisatie verwijzen wij u graag door naar de Security Blog van Microsoft. In deze blog bespreekt Microsoft tot in detail hoe u kunt controleren of uw Exchange Servers geraakt zijn door de kwetsbaarheden en hoe dit te mitigeren is.
Conclusie
Nieuwe kwetsbaarheden komen dagelijks uit, blijf dus te allen tijde alert. Als u over systemen beschikt die aan het internet verbonden zijn adviseren wij u ervoor te zorgen dat u deze regelmatig controleert op kwetsbaarheden en deze tijdig verhelpt als ze worden aangetroffen. Het is belangrijk om een duidelijk overzicht te hebben van de algehele beveiliging van uw systemen. Dit is waar RedTeam bij helpt, vraag nu bij ons een pentest of kwetsbaarheden scan aan om inzicht te krijgen in de risico’s van uw systemen.
