66.000 Microsoft Exchange-servers kwetsbaar voor ProxyNotShell

[Captain Kirk]

Zo'n 66.000 Microsoft Exchange-servers zijn kwetsbaar voor de ProxyNotShell-aanval omdat beheerders hebben nagelaten beschikbare beveiligingsupdates te installeren, zo stelt de Shadowserver Foundation op basis van eigen onderzoek. In Nederland gaat het om zo'n tweeduizend servers.

Shadowserver verzamelt grote hoeveelheden informatie over botnets, malware en andere criminele netwerken en deelt die met providers en overheidsdiensten, zoals Computer Emergency Response Teams (CERTs). Ook voert het scans uit naar kwetsbare systemen. Via Twitter meldt de stichting dat zo'n 66.000 Exchange-servers de beveiligingsupdate voor de kwetsbaarheid aangeduid als CVE-2022-41082, ook bekend als ProxyNotShell, missen.

CVE-2022-41082 maakt remote code execution (RCE) mogelijk wanneer PowerShell voor een aanvaller toegankelijk is. Het beveiligingslek werd bij zeroday-aanvallen ingezet, zo waarschuwde Microsoft op 29 september. Als tijdelijke oplossing kwam het techbedrijf met url-rewrites om aanvallen te voorkomen. Op 8 november verscheen er een beveiligingsupdate voor de actief aangevallen kwetsbaarheid.

Bijna twee maanden verder blijkt dat deze patch nog altijd op 66.000 Exchange-servers niet is geïnstalleerd. Het grootste deel daarvan bevindt zich in de Verenigde Staten en Duitsland, met respectievelijk 16.000 en 12.000 servers. De Shadowserver Foundation roept organisaties dan ook op om de update te installeren, aangezien de url-rewrite die Microsoft als mitigatie aanbood niet blijkt te werken.

 

 

bron: https://www.security.nl