UPDATE: Kwetsbaarheid in Microsoft Exchange ProxyShell

Toegevoegde kwetsbaarheid: ProxyToken

Er is een kwetsbaarheid ontdekt in de Microsoft Exchange die de werktitel ProxyToken heeft gekregen. De kwetsbaarheid (CVE-2021-33766) maakt het mogelijk om als niet geauthentiseerde gebruiker inkomende e-mails te stelen en zo mogelijk toegang te krijgen tot gevoelige gegevens. Microsoft heeft beveiligingsupdates beschikbaar gesteld waarmee de kwetsbaarheden worden verholpen. Het NCSC heeft de reeks kwetsbaarheden onverminderd ingeschaald als High/High. Dat wil zeggen dat er een grote kans is dat deze kwetsbaarheden worden misbruikt en dat de schade groot kan zijn.

Het NCSC heeft de afgelopen dagen geconstateerd dat kwaadwillenden nog steeds actief op zoek zijn naar kwetsbare Microsoft Exchange Server-systemen. Daarom herhalen we de oproep om de beschikbare updates zo spoedig mogelijk te (laten) installeren. Aanvullende informatie is te vinden in de update-guide van Microsoft.

16 augustus 2021

Actief misbruik van Microsoft Exchange ProxyShell kwetsbaarheden

Inmiddels is bekend dat kwaadwillenden naast het scannen op kwetsbare systemen nu ook actief misbruik maken van de Microsoft Exchange Proxyshell kwetsbaarheden. Daarom vragen wij nogmaals nadrukkelijk om na te (laten) gaan of de laatste beveiligingsupdates zijn geïnstalleerd en/of dit te bespreken met je IT-leverancier. Meer informatie over de te nemen maatregelen is te vinden in de update van 9 augustus hieronder.

12 augustus 2021

Honderden bedrijven kwetsbaar voor ernstige Microsoft Exchange kwetsbaarheden

DTC heeft informatie waaruit blijkt dat honderden Exchange mailservers in Nederland niet de noodzakelijke beveiligingsupdates hebben geïnstalleerd. Kwaadwillenden kunnen deze kwetsbaarheden misbruiken om de mailserver volledig over te nemen en zo informatie te bemachtigen of code uit te voeren. Bij uitbuiting door een kwaadwillende is de kans op schade groot. Volgens publieke informatie zijn actoren actief opzoek naar kwetsbare systemen.

Daarom vragen wij opnieuw aandacht voor de recente kwetsbaarheden genaamd Microsoft Exchange ProxyShell. Maakt jouw bedrijf gebruik van Microsoft Exchange? Ga dan na of de laatste beveiligingsupdates zijn geïnstalleerd. Wees je ervan bewust dat er handmatige installaties nodig zijn van de zogenaamde "Cumulative Updates". Zie voor meer informatie ons bericht van 9 augustus.

9 augustus 2021

Download de beveiligingsupdates van Microsoft Exchange

Er wordt actief gescand op kwetsbaarheden die het mogelijk maken om op Exchange Servers willekeurige code uit te voeren. Het gaat hier om een bundeling van drie kwetsbaarheden (CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207) die bekend staat als ProxyShell. Microsoft heeft al eerder beveiligingsupdates uitgebracht om deze kwetsbaarheden te verhelpen. Het NCSC heeft deze kwetsbaarheden ook aangeduid als 'High/High'. Dat wil zeggen dat er een grote kans is dat deze kwetsbaarheden worden misbruikt en dat de schade groot kan zijn.

Wat kan ik doen?

Microsoft Exchange servers worden niet altijd tijdig voorzien van updates. Maakt jouw bedrijf gebruik van Exchange, zorg dan dat deze voorzien is van de laatste beveiligingsupdates. De genoemde kwetsbaarheden zijn verholpen in de volgende updates: KB5001779 en KB5003435.

Denk daarbij ook aan de noodzakelijke Cumulative Updates. Microsoft brengt deze per Exchange Server versie om de 3 à 4 maanden uit en alleen de laatste 2 versies worden voorzien van beveiligingsupdates. Voor Exchange Server 2013, 2016 en 2019 dient een Cumulative Update handmatig geïnstalleerd te worden. Je kunt dus niet alleen leunen op automatische updates. Microsoft geeft op deze pagina meer informatie over de beschikbare Cumulative Updates en hoe je kunt nagaan welke geïnstalleerd staat.

Let op! Bij de installatie van de laatste Cumulative Update versie kan het gebeuren dat de webomgeving (OWA/ECP) niet meer werkt omdat het Exchange Server OAuth certificaat is verlopen of niet meer werkt. Dit kan worden opgelost door een nieuw Exchange Server OAuth certificaat te generen. Microsoft geeft hier uitleg hoe je dit kunt doen. Na het genereren van het nieuwe certificaat kan het een aantal uren duren voordat deze in werking treedt. Houd hier dus rekening mee bij het installeren van de laatste Cumulative Update.