Begin januari van dit jaar (2021) liet beveiligingsexpert Brian Krebs van Microsoft weten dat het bedrijf vier zero-day beveiligingsfouten in hun Exchange Server had aangetroffen. Deze tekortkomingen werden actief uitgebuit door een volhardende bedreigingsgroep die bekend staat als Halfnium, gesponsord door de Chinese overheid.

Volgens de statistieken van Microsoft waren er al meer dan 30.000 Exchange Servers getroffen, waarbij sommige experts uit de industrie dat aantal dichter bij de 60.000 schatten.

Halfnium was de eerste groep die deze beveiligingslekken begon te exploiteren. Er is echter steeds meer bewijs dat de meest recente aanvallen afkomstig zijn van andere groepen dan Halfnium, wat betekent dat dit nieuws naar buiten is gekomen.

Als er een positief puntje te vinden is in dit nieuws, ligt het in het feit dat Microsoft snel reageerde en een patch heeft uitgegeven om alle vier de beveiligingsproblemen aan te pakken. Helaas varieert de snelheid waarmee nieuwe beveiliging patcht enorm van de ene organisatie tot de andere, en op dit moment zijn er miljoenen Exchange-servers over de hele wereld die nog steeds kwetsbaar zijn voor deze aanvallen.

Als u Exchange Server gebruikt, bent u het aan uzelf verplicht om ervoor te zorgen dat u de nieuwste beveiligingspatch heeft geïnstalleerd.

Ter referentie: de vier zwakke plekken die door de patch worden aangepakt, zijn de volgende:

  • CVE-2021-26855: CVSS 9.1: een kwetsbaarheid voor Server Side Request Forgery (SSRF) die ertoe leidt dat aangemaakte HTTP-aanvragen worden verzonden door niet-geverifieerde aanvallers. Servers moeten niet-vertrouwde verbindingen via poort 443 kunnen accepteren om de bug te activeren.
  • CVE-2021-26857: CVSS 7.8: een onveilige kwetsbaarheid voor deserialisatie in de Exchange Unified Messaging Service, die de implementatie van willekeurige code onder SYSTEM mogelijk maakt. Let op dat deze kwetsbaarheid moet worden gecombineerd met een andere, of dat er gestolen inloggegevens moeten worden gebruikt.
  • CVE-2021-26858: CVSS 7.8: en CVE-2021-27065: CVSS 7.8: een post-authenticatie kwetsbaarheid voor het schrijven naar willekeurige bestanden om naar paden te schrijven.

Dit is een ernstig probleem dat een catastrofaal domino-effect kan hebben. Nogmaals, als u Exchange Server gebruikt, controleer dan meteen uw patchstatus.

Used with permission from Article Aggregator