30 sep 2022

Zero-day vulnerabilities in Microsoft Exchange

Dit artikel is alleen van toepassing indien u nog een Microsoft Exchange server op locatie heeft (een fysieke server).

Microsoft heeft twee zero-day kwetsbaarheden ontdekt in Exchange Server 2013, 2016 en 2019. Bovendien is door Microsoft geconstateerd dat hier actief misbruik van wordt gemaakt door cybercriminelen. Het NCSC (Nationaal Cyber Security Centrum) heeft deze kwetsbaarheid mede daarom aangeduid met de risicofactor high/high. Dat betekent dat de kans groot is dat cybercriminelen hier misbruik van maken en de mogelijke schade die hieruit voortvloeit groot kan zijn.

Het risico

De combinatie van de twee kwetsbaarheden bieden aanvallers de mogelijkheid om willekeurige code te kunnen uitvoeren op een kwetsbare Exchange Server. Hiervoor dient men wel eerst in te loggen  met een gebruikersaccount. Omdat het niet uitmaakt welke rechten zijn toegewezen aan het gebruikersaccount, kan een aanvaller deze kwetsbaarheid misbruiken met elk willekeurig gebruikersaccount waar inloggegevens van zijn verkregen, bijvoorbeeld bij een eerder datalek of andere wijze waarop inloggegevens zijn buitgemaakt. Een Exchange Server kan volledig worden overgenomen en hierop kwaadaardige code zoals ransomware installeren en bij uw bedrijfsdata komen.

De CVE-code* van Microsoft: CVE-2022-41040 en CVE-2022-41082
* (CVE = Common Vulnerabilities and Exposures, een databank met informatie over IT kwetsbaarheden)

En nu?

Maakt uw bedrijf gebruik van Microsoft Server 2013, 2016 of 2019? Op dit moment zijn er nog geen beveiligingsupdates beschikbaar gesteld. Wel zijn er tijdelijke maatregelen (mitigaties) die u kunt treffen, waarmee misbruik kan worden voorkomen. Microsoft heeft hierover een blog geschreven: klik hier

Natuurlijk hoeft u dit niet zelf te doen, wij hebben met onze klanten inmiddels contact opgenomen. Maar mochten wij u organisatie kunnen helpen dan doen wij dat graag. Klik hier om contact op te nemen.