Van 28.500 Microsoft Exchange-servers is inmiddels bevestigd dat ze kwetsbaar zijn voor elevation of privilege. Daardoor lopen getroffen organisaties wereldwijd aanzienlijke risico’s, aangezien er veel gebruikers aangesloten zijn op Exchange voor hun werkzaamheden.
Het aanvalsoppervlak is mogelijk nog groter. De threat monitoring-dienst Shadowserver heeft namelijk 97.000 servers geïdentificeerd als ‘potentieel kwetsbaar’. Dit hangt af van de maatregelen die beheerders hebben genomen. Shadowserver heeft geen zicht op of deze 68.500 potentieel kwetsbare servers zijn gepatcht, maar verwijst opnieuw naar de Microsoft-documentatie.
Nederland behoort met iets meer dan 3.000 gevallen tot een van de zwaarst getroffen landen. België is minder getroffen, met ongeveer 1.000 servers. Duitsland staat veruit bovenaan, met bijna 23.000 meldingen van Shadowserver.
Het betreft een elevation of privilege (EoP)-kwetsbaarheid in Exchange Server. Door de bug kan een cybercrimineel een gelekte Net-NTLMv2-hash doorgeven aan een kwetsbare Exchange-server om zich te laten verifiëren als die gebruiker. Hackers kunnen mogelijk NTLM-hashes kraken of een NTLM-relay-aanval inzetten.
“Een aanvaller kan zich richten op een NTLM-client, zoals Outlook, met een NTLM-gegevenslekkende kwetsbaarheidstype”, aldus Microsoft in de waarschuwing. Met de gelekte inloggegevens kunnen kwaadwillenden extra rechten verkrijgen in het netwerk en vanuit de Exchange Server doelwitten aanvallen.
Oplossing
Exchange Server had tot nu toe niet standaard relay-beveiliging ingeschakeld voor NTLM-credentials. Daar gaat Microsoft nu verandering in brengen, door de zogeheten Extended Protection (EP) standaard in in te schakelen op alle Exchange Servers. Hiervoor dient de 2024 H1 Cumulative Update geinstalleerd te worden.
Natuurlijk ontzorgen wij u hierin, voor ons superlogisch! Heb je hulp nodig? of wil je weten of de exchange server van uw organisatie wel veilig is neem dan even contact met ons op.
Bron: technzine
