Kritiek lek in Microsoft Exchange blijft ongepatcht op merendeel servers

Een kwetsbaarheid in Microsoft Exchange-servers, waarvoor in februari een patch werd uitgebracht, blijft talrijk aanwezig. Nochtans wordt het lek al minstens sinds begin maart misbruikt door hackers in hun aanvalscampagnes.

Meer dan 350.000 Exchange-mailservers zijn vandaag nog steeds kwetsbaar voor een kritiek lek (CVE-2020-0688) dat Microsoft reeds in februari van dit jaar heeft gepatcht, zo blijkt uit onderzoek van securitybedrijf Rapid7. Dat is problematisch omdat begin maart reeds de eerste aanvallen van staatsgesponsorde hackergroepen opdoken, die de kwetsbaarheid misbruiken.

Rapid7 gebruikte zijn eigen tool Project Sonar om het internet te scannen naar kwetsbare servers. Van de 433.464 Exchange-servers die het aantrof in de scan, waren 357.629, ofwel zo’n 82,5 procent, nog niet gepatcht. Nochtans had Microsoft bij het publiceren van de patch twee maanden geleden expliciet gewaarschuwd om deze zo snel mogelijk te installeren.

Tom Sellers, Senior Manager bij Rapid7 Labs waarschuwt dat misbruik van het lek een aanvaller potentieel toelaat om “elke gestolen Exchange-gebruikersaccount in een volledige overname van het systeem te veranderen”. Afhankelijk van de implementatie kan zo de volledige Exchange-omgeving worden geïnfiltreerd, inclusief alle e-mailverkeer en potentieel zelfs de volledige Active Directory.

Patchen cruciaal

Gezien Exchange-servers doorgaans bijzonder waardevolle informatie bevatten, vrezen experts dat de kwetsbaarheid snel een favoriet zal worden bij ransomware-aanvallers en APT-groepen. Zeker als zo veel servers ongepatcht blijven.

“De update voor CVE-2020-0688 moet op elke server worden geïnstalleerd met Exchange Control Panel (ECP) ingeschakeld”, benadrukt Sellers. “Dit zijn meestal servers met de rol Client Access Server (CAS), waar je gebruikers toegang zouden hebben tot Outlook Web App (OWA).”

Admins kunnen best ook nagaan of aanvallers hebben geprobeerd om het lek op hun servers te misbruiken. Aangezien voor een succesvolle aanval minstens geldige inloggegevens voor één account nodig zijn, moet elk account dat bij een aanvalspoging is betrokken als gecompromitteerd worden beschouwd.

ECP uitschakelen

Wanneer patchen om één of andere reden niet (onmiddellijk) mogelijk is, doen organisaties er goed aan om minstens Exchange Control Panel op kwetsbare servers uit te schakelen. Rapid7 vond in zijn scan ook ruim 166.000 Exchange 2010-servers, die binnenkort end-of-life-status bereiken, en zelfs nog heel wat Exchange 2007-servers, die al sinds april 2017 niet langer ondersteund worden.

“Aanvallers zijn in feite één zwak of gelekt gebruikerswachtwoord verwijderd van volledige toegang tot uw organisatie”, waarschuwt Jonathan Cran, Head of Research bij Kenna Security, dat zijn eigen analyse van de kwetsbaarheid uitvoerde. “Uiteindelijk vormen dergelijke kwetsbaarheden een sterk argument voor een upgrade naar Office 365.”