Microsoft geeft advies voor onderzoek en herstel van Exchange-servers

[Captain Kirk]

Microsoft heeft een nieuw document gepubliceerd waarin het advies geeft voor het onderzoeken en herstellen van kwetsbare Exchange-servers. Kwetsbaarheden in Exchange maken het mogelijk voor aanvallers om kwetsbare mailservers op afstand over te nemen en te gebruiken voor verdere aanvallen. Misbruik van de beveiligingslekken vindt voor zover bekend al sinds januari plaats.

In het nieuwe document stelt Microsoft dat organisaties de kwetsbaarheden meteen moeten patchen. Door dit niet te doen kan de Exchange-server van de organisatie worden overgenomen en mogelijk ook andere delen van het interne netwerk. Het document legt uit hoe de nu waargenomen aanvallen werken, welke oplossingen er beschikbaar zijn, hoe organisaties kunnen achterhalen of ze gecompromitteerd zijn en welke herstelstappen moeten worden gevolgd.

Ook wijst Microsoft op het isoleren van de Exchange-server zodat die niet vanaf het publieke internet toegankelijk is. Bij de huidige aanvallen maken de aanvallers een "untrusted" verbinding met de server via poort 443. Het is dan ook nodig om inkomende verbindingen op deze poort te blokkeren. Dit kan echter gevolgen voor thuiswerkers hebben of andere scenario's waarbij er geen gebruik wordt gemaakt van een vpn om verbinding met de server te krijgen, aldus de uitleg van het techbedrijf.

 

bron: https://www.security.nl