Microsoft waarschuwt voor aanvallen op ongepatchte Exchange-servers

Microsoft waarschuwt organisaties om verouderde Exchange-mailservers zo snel mogelijk te updaten, nadat het een enorme toename in soms zeer vernuftige aanvallen heeft vastgesteld sinds april.

Geavanceerde aanvallers maken gebruik van opensourcesoftware die gratis voorhanden is en een gekende kwetsbaarheid in Exchange om e-mailservers aan te vallen. Sinds het venijnig lek (CVE-2020-0688) in februari aan het licht kwam, werd het al snel geviseerd door staatsgesponsorde hackergroepen omwille van de waardevolle informatie die via een Exchange-server passeert.

De meest courante manier waarop Exchange-servers worden aangevallen is via phishing of misbruik van een desktopbug, waarna de aanvallers zich lateraal door het netwerk naar de Exchange-server verplaatsen. In april stelde Microsoft evenwel een enorme toename vast in het misbruik van deze specifieke bug, zo klinkt het in een blogpost.

Microsoft was nochtans snel om de kwetsbaarheid te patchen, en waarschuwde meteen voor de ernstige impact. De fout komt erop neer dat alle Exchange-servers van de laatste tien jaar identieke cryptografische sleutels gebruiken voor de backend van het controlepaneel, waardoor een aanvaller vanop afstand malware kan uitvoeren en volledige controle over de server krijgen.

Kwetsbare servers

Ondanks het actieve misbruik en de waarschuwing van Microsoft, hebben veel organisaties tot nog toe nagelaten om hun servers te patchen. In april waarschuwden beveiligingsonderzoekers dat nog meer dan 350.000 kwetsbare Exchange-servers open stonden naar het internet.

Microsoft adviseert nogmaals om beschikbare updates voor Exchange zo snel mogelijk uit te voeren en multi-factorauthenticatie in te schakelen. Daarnaast is het ook een goed idee om groepen met hoge privileges, zoals Administrators en Remote Desktop Users, te controleren op verdachte accounts, die mogelijk op een aanval kunnen wijzen.