Exchange kwetsbaarheid: nieuw script beschikbaar
UPDATE 16 maart 2021
Microsoft heeft een nieuw 'one-click' script beschikbaar gesteld om het voor beheerders van Exchange Servers gemakkelijker te maken de noodzakelijke updates te installeren en andere schadebeperkende maatregelen uit te voeren. Het nieuwe script scant ook of er sporen zijn van misbruik en probeert het systeem te herstellen waar dat mogelijk is.
Belangrijke links:
> Blogpost van Microsoft met uitleg over het script
> Script "EOMT.PS1" (One-Click Microsoft Exchange On-Premises Mitigation Tool) voor het downloaden van het script
Meer over deze Exchange kwetsbaarheid lees je hieronder.
Beveiligingsupdates voor niet ondersteunde 'Cumulative Updates'
UPDATE 11 maart 2021
De ernstige kwetsbaarheden in Microsoft Exchange worden nog steeds actief misbruikt waaronder in Nederland. Microsoft heeft nu ook beveiligingsupdates uitgebracht voor Exchange Server 2013, 2016 en 2019 die geen ondersteunde versie van de zogenoemde “Cumulative Update” draaien.
Normaal gesproken brengt Microsoft geen beveiligingsupdates meer uit voor niet ondersteunde “Cumulative Updates”. Het blijft dus belangrijk om wel een ondersteunde versie te gebruiken.
Houd er rekening mee dat Microsoft elke 3 à 4 maanden een nieuwe “Cumulative Update” uitbrengt en alleen de laatste twee ondersteund blijven. Deze moeten handmatig geïnstalleerd worden. Het advies is om dit mee te nemen in je updatebeleid of, wanneer het beheer is uitbesteed, te bespreken met je IT-dienstverlener.
Je kunt de download links vinden op de website van Microsoft.
Advies: Herhaal onderzoek of misbruik heeft plaatsgevonden
Daarnaast herhalen we in deze update de noodzaak om Exchange Servers te onderzoeken op sporen van misbruik. Microsoft heeft hiervoor scripts beschikbaar gesteld die deze dagen worden bijgewerkt naarmate meer informatie over de sporen bekend worden. Het loont dus om ook nieuwere versies van de scripts opnieuw te draaien op Exchange Servers, ook wanneer deze al voorzien zijn van de updates. Doe dit zelf of verzoek je IT-dienstverlener om dit uit te voeren.
Advies: Update Microsoft Exchange Servers en onderzoek of misbruik heeft plaatsgevonden
UPDATE 7 maart 2021
Opnieuw herhalen wij het advies om de beschikbare updates zo snel mogelijk te installeren en niet te wachten op eventuele ingeplande updatemomenten. Uit onderzoek van het NCSC blijkt dat op meer dan 40% van de Nederlandse Microsoft Exchange Servers de beschikbare updates nog niet geïnstalleerd zijn.
Omdat misbruik van de kwetsbaarheden al werd waargenomen voordat de updates beschikbaar waren, is het belangrijk om Exchange Servers te onderzoeken op sporen van misbruik. Deze sporen worden ook wel IoC’s (Indicator of Compromise) genoemd. Microsoft heeft hiervoor een script beschikbaar gesteld en geeft hier meer informatie over in hun blogpost.
Maak je gebruik van Microsoft Exchange maar is het beheer hiervan uitbesteed? Verifieer dan bij je IT-dienstverlener of de updates daadwerkelijk geïnstalleerd zijn en verzoek of ze met de door Microsoft aangeleverde IoC’s kunnen nagaan of er misbruik heeft plaats gevonden. Dit laatste blijft belangrijk ook al zijn de updates al geïnstalleerd.
Een aantal van de genoemde kwetsbaarheden staan ook bekend als “Proxylogon”. Het komt vaker voor dat ernstige kwetsbaarheden een naam krijgen.
Oorspronkelijk bericht:
Actief aangevallen kwetsbaarheden in Microsoft Exchange
3 maart 2021
Op dit moment wordt actief misbruik gemaakt van een aantal ernstige kwetsbaarheden in Microsoft Exchange Servers. Het betreft Exchange Server 2013, 2016 en 2019. Microsoft geef in KB5000871 een overzicht van de verschillende kwetsbaarheden en heeft beveiligingsupdates uitgebracht. NCSC heeft de kwetsbaarheden ook aangeduid als 'High/High'. Dit wil zeggen dat er een grote kans is dat deze kwetsbaarheden worden misbruikt en dat de schade groot kan zijn.
Wat is een Exchange Server?
Exchange is een product van Microsoft dat wordt ingezet als mailserver om e-mails te ontvangen en verzenden, met vaak een eigen domein (@bedrijf.nl) als afzender. Daarnaast geeft een Exchange Server de mogelijkheid om e-mail, contacten en agenda’s te synchroniseren met verschillende apparaten.
Veel bedrijven gebruiken tegenwoordig e-mail in de cloud zoals bijvoorbeeld Office365 of Gmail, maar ondanks deze trend zijn er ook nog veel bedrijven die een eigen e-mailserver gebruiken en beheren. In veel gevallen wordt hiervoor Microsoft Exchange Server gebruikt.
Wat is het risico?
De kwetsbaarheden maken het voor een kwaadwillende mogelijk om Exchange Servers volledig over te nemen wanneer zij netwerktoegang hebben tot deze servers. Een aanvaller kan op dat moment malware installeren en data inzien.
Exchange Servers zijn vaak via het internet te benaderen zodat medewerkers overal hun e-mail kunnen benaderen. Bijvoorbeeld via Outlook, webmail of mobiele telefoons. Exchange Servers die toegankelijk zijn via het internet zijn ook door kwaadwillenden makkelijk te vinden waardoor de kans op misbruik toeneemt.
Wat kan ik doen?
Als je gebruik maakt van een Exchange Server dan is het advies om de beschikbare beveiligingsupdates zo snel mogelijk te (laten) installeren. Wacht hierbij niet op eventuele ingeplande updatemomenten. Het gaat hier namelijk om kwetsbaarheden die actief worden misbruikt en servers die vaak direct benaderbaar zijn via het internet.
De beveiligingsupdates zijn beschikbaar voor Exchange Server 2013, 2016 en 2019. Op de website van Microsoft is hierover meer informatie te vinden.
Neem contact op met jouw IT-dienstverlener als je niet zelf je Exchange Server beheert en verzoek deze de updates zo snel mogelijk voor je te installeren.
Ook oudere versies van Exchange Server kunnen kwetsbaar zijn. Deze worden echter niet meer ondersteund omdat ze de End-of-Life status hebben bereikt. Als je nog gebruik maakt van een oudere Exchange Server dan is het advies deze spoedig te upgraden naar een recenter versie.
Aanvullende informatie
Let op: Weet dat beveiligingsupdates voor Microsoft Exchange alleen beschikbaar zijn voor servers die een bepaalde versie van de zogenaamde “Cumulative Update” geïnstalleerd hebben. Een “Cumulative Update” brengt Microsoft per Exchange Server versie om de 3 à 4 maanden uit. Voor Exchange Server 2013, 2016 en 2019 dient een “Cumulative Update” handmatig geïnstalleerd te worden. Je kunt dus niet uitsluitend uitgaan van de automatische updates. Microsoft geeft meer informatie over de beschikbare “Cumulative Updates” en hoe je kunt nagaan welke geïnstalleerd zijn.
De beveiligingsupdate voor de hierboven beschreven kwetsbaarheid is beschikbaar voor de volgende versies:
- Microsoft Exchange Server 2013 Cumulative Update 23
- Microsoft Exchange Server 2016 Cumulative Update 18
- Microsoft Exchange Server 2016 Cumulative Update 19
- Microsoft Exchange Server 2019 Cumulative Update 7
- Microsoft Exchange Server 2019 Cumulative Update 8
Veilig digitaal ondernemen
Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de Basisscan Cyberweerbaarheid.