Terug
Blog 06-10-22

Zero-day vulnerabilities in Microsoft Exchange

Microsoft Office 365

In het kort

Microsoft heeft twee zero-day kwetsbaarheden ontdekt in Exchange Server 2013, 2016 en 2019. Bovendien is door Microsoft geconstateerd dat hier actief misbruik van wordt gemaakt door cybercriminelen. Het NCSC (Nationaal Cyber Security Centrum) heeft deze kwetsbaarheid mede daarom aangeduid met de risicofactor high/high. Dat betekent dat de kans groot is dat cybercriminelen hier misbruik van maken en de mogelijke schade die hieruit voortvloeit groot kan zijn.

Zero-day vulnerabilities in Microsoft Exchange:
tijdelijke maatregelen beschikbaar

Microsoft heeft twee zero-day kwetsbaarheden ontdekt in Exchange Server 2013, 2016 en 2019. Bovendien is door Microsoft geconstateerd dat hier actief misbruik van wordt gemaakt door cybercriminelen. Het NCSC (Nationaal Cyber Security Centrum) heeft deze kwetsbaarheid mede daarom aangeduid met de risicofactor high/high. Dat betekent dat de kans groot is dat cybercriminelen hier misbruik van maken en de mogelijke schade die hieruit voortvloeit groot kan zijn.

Omdat wij het belangrijk vinden om u accuraat te voorzien van informatie die essentieel is voor de bescherming van uw ICT-omgeving ontvangt u deze belangrijke melding, inclusief het advies van onze IT-Security specialisten.

Het risico

De combinatie van de twee kwetsbaarheden bieden aanvallers de mogelijkheid om willekeurige code te kunnen uitvoeren op een kwetsbare Exchange Server. Hiervoor dient men wel eerst in te loggen  met een gebruikersaccount. Omdat het niet uitmaakt welke rechten zijn toegewezen aan het gebruikersaccount, kan een aanvaller deze kwetsbaarheid misbruiken met elk willekeurig gebruikersaccount waar inloggegevens van zijn verkregen, bijvoorbeeld bij een eerder datalek of andere wijze waarop inloggegevens zijn buitgemaakt. Een Exchange Server kan volledig worden overgenomen en hierop kwaadaardige code zoals ransomware installeren en bij uw bedrijfsdata komen.

De CVE-code* van Microsoft: CVE-2022-41040 en CVE-2022-41082

* (CVE = Common Vulnerabilities and Exposures, een databank met informatie over IT kwetsbaarheden)

Ons advies

Maakt uw organisatie gebruik van Microsoft Server 2013, 2016 of 2019? Op dit moment zijn er nog geen beveiligingsupdates beschikbaar gesteld. Wel zijn er tijdelijke maatregelen (mitigaties) die u kunt treffen, waarmee misbruik kan worden voorkomen. Microsoft heeft hierover een blog geschreven: klik hier

Het advies is om deze maatregelen met hoge urgentie door te (laten) voeren. Gezien de complexiteit hiervan wordt geadviseerd dit te laten verzorgen door een gespecialiseerde Microsoft-consultant.

Ondersteuning door ACA IT-Solutions

De IT-Security specialisten van ACA IT-Solutions zullen de benodigde tijdelijke maatregelen (mitigaties) en eventuele daaropvolgende updates zo spoedig mogelijk uitvoeren voor opdrachtgevers waarvoor wij genoemde Microsoft-oplossingen en/of het beheer daarvan actief verzorgen. Dit wordt afgestemd met de IT-verantwoordelijke van uw organisatie.

Behoort uw organisatie niet tot de groep opdrachtgevers zoals hierboven beschreven, bijvoorbeeld omdat u zelf uw beheer verzorgt of de Microsoft-diensten in het verleden elders heeft ondergebracht? Ons advies is om beschikbare tijdelijke maatregelen (mitigaties) en eventuele daaropvolgende updates gecontroleerd uit te laten voeren door een gespecialiseerde organisatie. Heeft u hierbij hulp nodig van onze specialisten? Wij helpen u hier graag bij.

Is uw organisatie op dit moment veilig?

Zoals aangegeven heeft het NCSC deze kwetsbaarheid als zeer risicovol aangemerkt. Microsoft Exchange Servers 2013, 2016 en 2019 die de tijdelijke maatregelen nog niet hebben voltooid zijn derhalve op dit moment niet veilig en vormen een potentieel doelwit voor kwaadwillenden.

Twijfelt u of uw reeds bent aangevallen, constateert u verdachte activiteiten op uw bedrijfsnetwerk of wilt u graag zekerheid? ACA IT-Solutions kan een vulnerability scan uitvoeren en u hiervan een rapport opleveren.

Hiermee krijgt u direct een totaalbeeld van de ‘gezondheid’ van uw netwerk. Deze scan heeft een reactieve werking (is er al malware actief?) en kan tevens dienen als 0-meting voor een proactieve aanpak middels de ACA vulnerability management tool. Hiermee wordt uw omgeving jaarrond en proactief gescand op kwetsbaarheden. Neem voor meer informatie hierover contact met ons op.