357.000 Exchange-servers kwetsbaar door niet geïnstalleerde update

[Captain Kirk]

Meer dan 357.000 Exchange-servers zijn kwetsbaar voor aanvallen doordat een beveiligingsupdate voor een ernstige kwetsbaarheid niet is geïnstalleerd. Dat meldt securitybedrijf Rapid7 op basis van onderzoek onder 433.000 Exchange-servers. Het beveiligingslek wordt al ruim een maand actief aangevallen.

Via de kwetsbaarheid kan een aanvaller, die toegang tot het e-mailaccount van een gebruiker op de server heeft, willekeurige code met systeemrechten uitvoeren. Op deze manier kan een aanvaller volledige controle over de server krijgen en bijvoorbeeld het e-mailverkeer onderscheppen en manipuleren. Op dinsdag 11 februari kwam Microsoft met een beveiligingsupdate voor de kwetsbaarheid. Twee weken later op 25 februari publiceerde het Zero Day Initiative (ZDI) meer details over het beveiligingslek. Kort na het verschijnen van deze uitleg vinden er aanvallen plaats.

Eind maart besloot Rapid7 op internet te zoeken naar publiek toegankelijke Exchange Outlook Web App (OWA) services. Dit leverde iets meer dan 433.000 Exchange-servers op. Daarvan waren er meer dan 357.000 kwetsbaar doordat de sinds februari beschikbaar zijnde update niet was geïnstalleerd. Het werkelijke aantal kwetsbare servers ligt mogelijk hoger, omdat sommige van de servers die Rapid7 als veilig beschouwt niet zijn gepatcht. Dit komt doordat de testmethode niet precies genoeg is bij het bepalen van de gebruikte versie. Bij de 357.000 servers waarvan is vastgesteld dat ze kwetsbaar zijn was het zonder twijfel duidelijk dat ze niet zijn geüpdatet.

De problemen met het installeren van beveiligingsupdates voor Exchange gaan echter verder dan alleen deze ene beveiligingsupdate. Meer dan 31.000 Exchange 2010-servers hebben sinds 2012 geen patches ontvangen. Bijna achthonderd Exchange 2010-servers zijn zelfs nog nooit geüpdatet. Tevens blijkt dat er nog zo'n 9.000 Exchange 2007-servers zijn. De ondersteuning van Exchange 2007 stopte op 11 april 2017. Gevonden kwetsbaarheden in deze versie van Exchange worden niet meer door Microsoft gepatcht.

Op 13 oktober 2020 eindigt de support van Exchange 2010, waarvan nog meer dan 166.000 servers op internet zijn te vinden. Al deze systemen zullen over een aantal maanden geen beveiligingsupdates meer ontvangen. Organisaties en beheerders krijgen het dringende advies om de beschikbare beveiligingsupdate voor kwetsbaarheid CVE-2020-0688 te installeren en op eventueel gecompromitteerde Exchange-omgevingen te controleren. Het gebruik van de exploit laat aanwijzingen in de logbestanden achter.

Het percentage kwetsbare servers van Rapid7 komt overeen met onderzoek van securitybedrijf Kenna Security. Dat bedrijf bekeek vorige maand de gegevens van honderden klanten en zag dat bij minder dan 15 procent de Exchange-update was geïnstalleerd.

 

bron: security.nl