Een recent bekendgemaakte kwetsbaarheid voor Microsoft Exchange Servers – ProxyLogon, wordt momenteel actief misbruikt door hackers. Waarbij ook Nederlandse organisaties slachtoffer zijn – tot wel 40% van de Nederlandse organisaties hebben hun systemen nog niet voorzien van de vereiste beveiligingsupdates.
Actieve aanvallers in Nederland
Aanvallers kunnen de gepubliceerde kwetsbaarheden uitbuiten om zo mails te raadplegen, de Exchange Server te compromitteren en mogelijk het achterliggende netwerk over te nemen. De kwetsbaarheden zijn ernstig genoeg dat Microsoft ook voor niet langer ondersteunde Exchange Servers (CUs) noodpatches beschikbaar heeft gesteld.
Door het NFIR CERT zijn meerdere (succesvolle) aanvallen in Nederland waargenomen, met als doel om toegang te verkrijgen tot Exchange Servers.
Welke versies van Exchange Server zijn kwetsbaar?
De bug is te wijten aan een wijziging van de Client Access Service architectuur binnen Exchange Server 2013 en een oudere versie Exchange Server 2010 (End-of-Support – oktober 2020).
Hieronder vind je een overzicht te zien van de kwetsbare versies:
- Alle Exchange Server 2019 servers lager dan versie 15.02.0792.010
- Alle Exchange Server 2019 servers lager dan versie 15.02.0721.013
- Alle Exchange Server 2016 servers lager dan versie 15.01.2106.013
- Alle Exchange Server 2013 servers lager dan versie 15.00.1497.012
Bron: https://proxylogon.com/ – laatst geüpdatet 9 maart 2021
Exchange Server nog niet geüpdatet?
Op het moment dat de Exchange Server niet op tijd geüpdatet is – kan het zo zijn dat deze reeds is gecompromitteerd, het uitvoeren van een update zal er dan niet voor zorgen dat een aanvaller geen toegang meer heeft.
Twijfel je of jouw Exchange Server nog veilig is of heb je het vermoeden dat er iets op het systeem gebeurd is?
- Zet het systeem niet uit, laat het getroffen systeem forensisch onderzoeken
- Zorg voor adequate back-ups
- Doe aangifte bij de Politie
- Overweeg een melding te doen bij de Autoriteit Persoonsgegevens
