Microsoft laat weten dat het gros van de Exchange-servers wereldwijd intussen beschermd is tegen de eerder ontdekte zero day-kwetsbaarheden. Toch zijn er nog belangrijke risico’s.
Volgens Microsoft kreeg inmiddels 92 procent van de Exchange-servers wereldwijd een vorm van bescherming tegen de eerder ontdekte zero-day-lekken die enthousiast worden uitgebuit door criminelen. De servers zijn manueel gepatcht, kregen hun patch via de mitigatietool van Microsoft of worden beschermt dankzij een recente update van Windows Defender. Ondanks alle moeite van Microsoft om lokale en gehoste servers te beveiligen, blijft 8 procent wel gewoon kwetsbaar.
Toegang via web shells
De cijfers toch hoopgevend, al is de realiteit nog minder rooskleurig. In de beveiligde servers zijn de originele zero day-kwetsbaarheden verholpen, maar patches en mitigatietechnieken helpen niet wanneer hackers zich eerder al toegang verschaften. In heel wat gevallen gebruikten criminelen de zero days om voor zichzelf een nieuw achterpoortje te bouwen om op een later tijdstip te misbruiken. Eigenaars van Exchange-servers moeten niet alleen de juiste patches installeren, ze dienen vervolgens ook na te gaan of aanvallers een dergelijke malafide web shell hebben geactiveerd.
Bijna een maand na de ontdekking van de zero days lopen er wereldwijd nog heel wat servers een risico. Dat 8 procent geen enkele vorm van patch heeft geïnstalleerd, is haast onbegrijpelijk. Microsoft lanceerde zelfs updates voor oude niet meer ondersteunde versies van Exchange gezien de ernst van de lekken, dus iedereen kan zijn systeem beveiligen. Ook voor de tweede wave van aanvallen via malafide webshells blijft het oppassen. Aanvallers misbruiken vandaag actief hun toegang om organisaties te infecteren met ransomware.