Een recent ontdekte kwetsbaarheid in Microsoft Exchange is zo ernstig dat Microsoft updates lanceert voor versies die officieel niet meer van ondersteuning genieten. Administrators moeten die patches manueel installeren.
Begin deze maand kwam aan het licht dat Microsoft Exchange-servers kwetsbaar zijn voor vier zero day-lekken. Hoewel Microsoft tijdig een patch lanceerde, blijken erg veel organisaties kwetsbaar. De achterpoortjes worden bovendien actief uitgebuit door criminelen gelinkt aan de Chinese overheid. Ze geven aanvallers de mogelijkheid om mee te lezen in e-mails en data te stelen. Naar schatting zijn 60.000 tot zelfs meer dan 100.000 organisaties wereldwijd getroffen.
Noodpatch
Microsoft catalogiseert de aanval nu als ernstig genoeg om updates uit te rollen voor versies van Exchange die officieel geen ondersteuning meer genieten. Daarbij gaat het onder andere om Exchange 2010 SP3. De updates verschijnen niet automatisch. Beheerders moeten de update via het Microsoft Download Center of de Microsoft Update Catalog binnenhalen.
De update kan voor problemen zorgen op verouderde installaties met UAC ingeschakeld. Om die problemen te voorkomen, is het belangrijk dat beheerders de juiste stappen volgen voor de installatie. Het volstaat niet om te dubbelklikken op het updatebestand: je moet het volgens Microsoft activeren via een Command Prompt-venster dat je als administrator uitvoert.
De softwarespecialist benadrukt dat deze éénmalige patch een noodoplossing is om verdere schade te voorkomen. Organisaties die een niet ondersteunde versie van Exchange gebruiken, zijn fundamenteel onveilig en moeten migreren naar een alternatief dat wel nog beveiligingsupdates krijgt.
Geleden schade
Maak je als organisatie gebruik van Exchange on-premises of via een gehoste oplossing, dan is de kans in de praktijk groot dat de aanvallers zich een weg naar binnen konden banen. De installatie van de patch lost de kwetsbaarheid op, maar gecompromitteerde systemen blijven gekraakt. De hackers in kwestie zijn gelinkt aan de Hafnium-groep. Zij lijken nu vooral van plan zoveel mogelijk servers binnen te vallen, zodat ze die later kunnen uitbuiten.
Microsoft was al sinds januari op de hoogte van de kwetsbaarheid maar kwam pas begin maart met een patch. Redmond lijkt de ernst van de situatie niet correct te hebben ingeschat. Met de patch voor niet ondersteunde systemen wordt helemaal duidelijk dat deze kwetsbaarheid een enorme impact heeft. Microsoft brengt maar heel af en toe een update uit voor software waarvan de ondersteuning is verlopen. In 2017 kreeg Windows XP bijvoorbeeld een update om het OS te beschermen tegen de WannaCry-ransomware.
Patchen en controleren
Heb je een ondersteunde versie van Exchange: installeer dan onmiddellijk de beschikbare patches en controleer of de aanvallers al zijn binnengeraakt in je systeem. Microsoft bouwde alvast een script om je daarbij te helpen.
Draai je een oudere versie van Exchange, installeer dan eveneens onmiddellijk de uitzonderlijk ter beschikking gestelde patches, controleer op eventuele extra malware en onderzoek dan waarom je organisatie nog op gevaarlijke oude technologie vertrouwt. Migreren is in deze fase niet optioneel. Vergeet niet mailservers persoonsgegevens kunnen bevatten, en de GDPR verwacht dat je op een redelijke manier moeite doet om die te beschermen. Je mailserver draaien op niet ondersteunde software van een decennium geleden kan wel eens als nalatigheid beschouwd worden.