Microsoft lanceert een eenvoudig script dat beheerders kunnen gebruiken om hun on-premises Exchange-omgevingen veilig te stellen van aanvallers. De tool komt er nu criminelen naar de hoogste versnelling zijn geschakeld in de uitbuiting van kwetsbaarheden in Exchange.
Microsoft helpt klanten van een on-premises of gehoste Exchange-omgeving met de introductie van de Exchange On-premises Mitigation Tool (EOMT). Dat is een scriptje dat automatisch op zoek gaat naar problemen veroorzaakt door aanvallers die eerder ontdekte kwetsbaarheden in Exchange uitbuiten. De tool vereist geen uitvoerige IT-kennis: het volstaat om te dubbelklikken op het script en het zijn werk te laten doen. Daarmee wil Microsoft vooral kmo’s zonder uitgebreide IT-expertise een helpende hand bieden.
Begin maart introduceerde Microsoft patches om vier zero day-lekken in Microsoft Exchange te dichten. Intussen worden die kwetsbaarheden massaal uitgebuit, zowel door geavanceerde hackersgroeperingen die data willen stelen, als door meer ordinaire criminelen die op geld azen en daarvoor ransomware installeren. Niet iedere organisatie heeft de ernst van de zaak al correct ingeschat en de essentiële updates geïnstalleerd. Bovendien eindigt het probleem niet met de update: die beschermt tegen toekomstige inbraken maar helpt niet wanneer hackers zich al een weg tot op de server hebben gebaand.
Automatische mitigatie
Daar komt de EOMT-tool kijken. Het PowerShell-script kijkt na of een server nog kwetsbaar is voor de kwetsbaarheden, mitigeert ze voor een stuk en downloadt vervolgens automatisch de Microsoft Safety Scanner. Die zal op zijn beurt nakijken of criminelen zelf al malafide scripts of web shells installeerden, en die desgevallend verwijderen.
Wanneer je de updates hebt uitgevoerd en hebt nagekeken of je Exchange-server eventueel al gekraakt werd voordien, hoef je volgens Microsoft niets meer te doen. In alle andere gevallen raadt de softwarespecialist aan om het script te downloaden en uit te voeren. Indien je de relevante updates nog niet hebt geïnstalleerd, moet je dat natuurlijk ook doen. Daar zorgt het script niet voor. Je vindt de EOMT op GitHub.
Belgische situatie
In ons land zijn er naar schatting nog 1.000 Exchange-servers kwetsbaar voor aanvallers. Het CCB vreest de komende dagen voor een tsunami aan problemen. Microsoft Exchange Online is niet kwetsbaar. In België is de meerderheid van de bedrijven al naar Exchange Online gemigreerd en die organisaties blijven gelukkig buiten schot.