Update 20/02/2024 – Van 28.500 Microsoft Exchange-servers is inmiddels bevestigd dat ze kwetsbaar zijn voor elevation of privilege. Daardoor lopen getroffen organisaties wereldwijd aanzienlijke risico’s, aangezien er veel gebruikers aangesloten zijn op Exchange voor hun werkzaamheden.
Het aanvalsoppervlak is mogelijk nog groter. De threat monitoring-dienst Shadowserver heeft namelijk 97.000 servers geïdentificeerd als ‘potentieel kwetsbaar’. Dit hangt af van de maatregelen die beheerders hebben genomen. Shadowserver heeft geen zicht op of deze 68.500 potentieel kwetsbare servers zijn gepatcht, maar verwijst opnieuw naar de Microsoft-documentatie.
Nederland behoort met iets meer dan 3.000 gevallen tot een van de zwaarst getroffen landen. België is minder getroffen, met ongeveer 1.000 servers. Duitsland staat veruit bovenaan, met bijna 23.000 meldingen van Shadowserver.
Origineel – Microsoft waarschuwt dat een kritieke kwetsbaarheid in Exchange Server is misbruikt vóór de release van de Patch Tuesday van februari.
Het betreft een elevation of privilege (EoP)-kwetsbaarheid in Exchange Server. Door de bug kan een cybercrimineel een gelekte Net-NTLMv2-hash doorgeven aan een kwetsbare Exchange-server om zich te laten verifiëren als die gebruiker. Hackers kunnen mogelijk NTLM-hashes kraken of een NTLM-relay-aanval inzetten.
“Een aanvaller kan zich richten op een NTLM-client, zoals Outlook, met een NTLM-gegevenslekkende kwetsbaarheidstype”, aldus Microsoft in de waarschuwing. Met de gelekte inloggegevens kunnen kwaadwillenden extra rechten verkrijgen in het netwerk en vanuit de Exchange Server doelwitten aanvallen.
Oplossing
Exchange Server had tot nu toe niet standaard relay-beveiliging ingeschakeld voor NTLM-credentials. Daar gaat Microsoft nu verandering in brengen, door de zogeheten Extended Protection (EP) standaard in in te schakelen op alle Exchange Servers. Hiervoor dienen gebruikers de 2024 H1 Cumulative Update te installeren.
Beheerders kunnen ook een PowerShell-script draaien om EP te activeren op oudere versies van Exchange Server. Microsoft raadt aan dat beheerders hun omgeving controleren op de problemen die in de documentatie van het PowerShell-script worden genoemd voordat ze EP inschakelen. Dit moet voorkomen dat eventuele andere functionaliteit ophoudt met functioneren.
Tip: Hackers misbruiken Windows Defender zero-day voor DarkMe-malware