Een bug in Microsoft Exchange werd al uitgebuit door hackers voor Microsoft deze maand de nodige patches kon lanceren. Die installeren moet topprioriteit zijn, want misschien is het zelfs al te laat.
Update 20/02/2024: In totaal zijn er vandaag 28.500 Microsoft Exchange-servers kwetsbaar voor het kritieke lek. Dat aantal kan oplopen tot 97.000. Shadowserver verwerkt alle cijfers nog en meldt zijn meest recente bevindingen op X:
Uit deze cijfers blijkt dat er 301 Exchange-servers in België kwetsbaar zijn. In Nederland gaat het om 605 Exchange-servers. Buurlanden Luxemburg (23), Frankrijk (1.312) en vooral Duitsland (4.691) moeten zich scherp houden.
Origineel 15/02/2024: Deze maand loste Microsoft een gevaarlijke kwetsbaarheid in Exchange Server op met updates tijdens Patch Tuesday. Helaas hadden cybercriminelen bug CVE-2024-21410 ook al ontdekt. De zeroday laat hackers toe om van op afstand en zonder authenticatie toegang te verwerven tot de Exchange Server en zich voor te doen als een legitieme gebruiker. Microsoft waarschuwt ervoor dat het dergelijke aanvallen al even in het wild heeft gezien.
Microsoft Exchange Server 2019 CU 14 en 13 zijn kwetsbaar, niet als Exchange Server 2016 CU 23. Voor versie 2019 heeft Microsoft intussen patches uitgerold. Gezien het actieve misbruik, de grote impact en de lage complexiteit van de aanval moet patchen een absolute prioriteit zijn.
Mitigeren
Gebruikers kunnen zich ook wapenen door Extended Protection for Authentication of EPA in te schakelen. De patch schakelt die extra beveiligingscapaciteit automatisch in. Gebruikers van oudere Exchange-versies kunnen zich beschermen door de functionaliteit zelf te activeren met een PowerShell-script.
Microsoft Exchange Server is een geliefkoosd doelwit voor hackers. Al te veel organisaties draaien hun mailserver lokaal en maken geen gebruik van Exchange in de cloud. Dat impliceert dat IT’ers zelf verantwoordelijk zijn voor updates, die al te vaak niet geïnstalleerd worden. Een onderzoek wees eind vorig jaar nog uit dat er meer dan 10.000 kwetsbare servers draaien in Europa alleen.