Microsoft moet voor de tweede dinsdag op rij een patch uitrollen voor Exchange. De eerste update bleek niet goed te werken op niet-Engelstalige besturingssystemen.
15 augustus was geen verlofdag voor de beveiligingsteams van Microsoft. De tweede dinsdag van de maand is traditioneel Patch Tuesday bij Microsoft en vorige week rolde dus een beveiligingsupdate uit voor Exchange. Omdat die niet werkte zoals zou moeten, heeft Microsoft nu ook op de derde dinsdag van de maand een update moeten vrijgeven.
Microsoft was in de originele versie even vergeten dat er nog andere talen dan het Engels bestaan. De installatie stopte onverwachts op Exchange-servers die in een niet-Engelstalig besturingssysteem draaien. Microsoft brengt nu een tweede versie van de beveiligingsupdate uit. Het gaat voor alle duidelijkheid niet om een cumulatieve, maar een additionele update. Wie de eerste versie succesvol heeft kunnen installeren, zit gebeiteld tot de tweede dinsdag van september.
De update biedt bescherming tegen kwetsbaarheid CVE-2023-21709. Die heeft een score van 9.8 op een schaal van tien, wat een hoge ernstgraad indiceert. Aanvallers die de kwetsbaarheid succesvol weten uit te buiten, kunnen zich aanmelden op het Microsoft-account van het slachtoffer. Het is met andere woorden dus aangewezen om de update snel door te voeren, in welke taal dan ook.
Onder vuur
Microsoft heeft zijn handen vol met het dichten van lekken in Exchange. De mailserver is vaak een populair target van hackers die een spionage-aanval willen uitvoeren omdat het directe toegang biedt tot iemands mailverkeer. Dat was recent het geval bij een spionageschandaal met Chinese hackers, dat vooral aan de andere kant van de Atlantische Oceaan veel stof heeft doen opwaaien.
lees ook
Microsoft onder vuur voor ‘onverantwoorde’ beveiligingspraktijken
Microsoft krijgt kritiek vanuit meerdere hoeken dat het te laks zou hebben opgetreden tegen de kwetsbaarheid die de aanvallers wisten uit te buiten. Ook het gegeven dat enkel bedrijven met het duurste Enterprise-abonnement de nodige middelen ter beschikking om de aanval te detecteren, goot extra olie op het vuur. Microsoft kan zich even niet meer permitteren om Exchange te laten lekken.