Aanvallers zoeken actief naar kwetsbare Exchange-servers

[Captain Kirk]

Aanvallers zoeken actief naar kwetsbare Exchange-servers die een belangrijke update missen die eerder deze maand door Microsoft werd uitgebracht. Via de kwetsbaarheid kan een aanvaller, die toegang tot het e-mailaccount van een gebruiker op de server heeft, willekeurige code met systeemrechten uitvoeren.

Op deze manier kan een aanvaller volledige controle over de server krijgen en bijvoorbeeld het e-mailverkeer onderscheppen en manipuleren. Het beveiligingslek werd via het Zero Day Initiative (ZDI), een programma dat onderzoekers betaalt voor het melden van onbekende kwetsbaarheden, aan Microsoft gemeld. Inmiddels heeft het ZDI ook een technische analyse van het lek gepubliceerd. Kort na de publicatie werden er al "grootschalige scans" op internet waargenomen die naar Exchange servers zochten, zo meldt beveiligingsonderzoeker Kevin Beaumont. Ook securitybedrijf Bad Packets meldt dat aanvallers naar Exchange-servers zoeken.

Doordat een aanvaller moet kunnen inloggen op een e-mailaccount op de server heeft Microsoft de kwetsbaarheid als "belangrijk" bestempeld in plaats van "kritiek". Volgens het ZDI is die beoordeling onterecht. "Binnen een bedrijf kan bijna elke gebruiker zich op de Exchange-server authenticeren. Daarnaast kan een externe aanvaller die de inloggegevens of het systeem van een gebruiker heeft gecompromitteerd de Exchange-server overnemen. Beheerders moeten dit dan ook als een kritieke patch beschouwen en zo snel als mogelijk na het testen uitrollen", aldus Simon Zuckerbraun van het ZDI. Microsoft verwacht dat aanvallers op korte termijn misbruik van het lek zullen maken.

 

 

bron: security.nl