Microsoft waarschuwt voor twee zeroday-kwetsbaarheden in de Exchange-server die ook actief zouden misbruikt worden. Een patch is nog niet uitgebracht.
Vietnamese securityonderzoekers kwamen de kwetsbaarheden in Microsoft Exchange, een ondersteunende opslagserver voor 365-applicaties, in augustus al op het spoor. Het gaat om twee losse kwetsbaarheden die in combinatie misbruikt hackers in staat stellen om remote code execution uit te voeren op een apparaat via PowerShell.
Nadat het nieuws over de kwetsbaarheden uitlekte via BleepingComputer, is Microsoft vandaag met een officieel statement naar buiten gekomen. De eerste kwetsbaarheid is een serverside request forgery die aanvallers toegang kan geven tot een server. Zo kunnen ze de tweede kwetsbaarheid activeren en code installeren in PowerShell.
De kwetsbaarheden kunnen enkel de kwetsbaarheid misbruiken als ze dit domino-effect in gang krijgen, wat zonder geautoriseerde toegang onmogelijk is. Volgens Microsoft zal misbruik dus eerder zeldzaam zijn, al meenden de onderzoekers die de lekken ontdekten wel al actief misbruik te hebben vastgesteld.
Microsoft werkt aan een oplossing
Om toch niets aan het toeval over te laten, belooft Microsoft zo snel mogelijk een update met patch uit te rol om de lekker opnieuw te dichten. De softwaregigant deelt ook een workaround in afwachting mee. Microsoft Exchange Online-gebruikers hoeven zich nergens zorgen over te maken, omdat de online versie automatisch de juiste detectie- en mitigatiemechanismen activeert.
Desktopgebruikers kunnen uit voorzorg kwetsbare Remote PowerShell uitschakelen. Door een URL Rewrite te implementeren via IIS Manager kan je aanvalskettingen doorbreken. Een uitgebreid en door Microsoft goedgekeurd stappenplan hoe je daarmee te werk gaat, vind je hier terug. Microsoft Exchange blijkt een populair target te zijn voor cybercriminelen, die voortdurend sluwe achterpoortjes vinden in de server.