Door niet geïnstalleerde update 357.000 Exchange-servers kwetsbaar

Omdat een beveiligingsupdate voor een kwetsbaarheid niet is geïnstalleerd, zijn meer dan 357.000 Exchange-servers nu kwetsbaar, zo meldt securitybedrijf Rapid7. Het bedrijf deed een onderzoek bij 433.000 Exchange-servers. Het beveiligingslek zou al ruim een maand actief worden aangevallen.

Beveiligingslek

Een aanvaller kan via de kwetsbaarheid toegang krijgen tot het e-mailaccount van de gebruiker op een server en met een willekeurige code systeemrechten uitvoeren. Zo kan de aanvaller volledige controle krijgen over de server en bijvoorbeeld e-mails onderscheppen en manipuleren. Microsoft kwam op 11 februari met een beveiligingsupdate voor de kwetsbaarheid. Het Zero Day Initiative (ZDI) plaatste twee weken later details over het lek. Hierna vinden er meer aanvallen plaats.

Onderzoek

Rapid7 besloot eind maart op internet naar publiek toegankelijke Exchange Outlook Web App services te zoeken, wat iets meer dan 433.000 Exchange-servers opleverde. Hiervan waren er meer dan 357.000 kwetsbaar omdat de update die sinds februari beschikbaar is, niet was geïnstalleerd. Het aantal werkelijke kwetsbare servers ligt vermoedelijk hoger, omdat er niet gepatchte servers zijn die Rapid7 wel als veilig beschouwt. Dit is omdat bij het bepalen van de gebruikte versie deze testmethode niet precies genoeg is. Er was bij de 357.000 servers waarvan de kwetsbaarheid is vastgesteld geen twijfel mogelijk dat ze niet zijn geüpdatet.

Problemen

Echter gaan de problemen met het installeren van beveiligingsupdates voor Exchange-servers verder dan alleen deze update. Sinds 2012 hebben meer dan 31.000 Exchange 2010-servers geen patches meer ontvangen. Ongeveer achthonderd van de Exchange 2010-servers zijn nooit geüpdatet. Ook zijn er nog 9.000 Exchange 2007-servers, terwijl de ondersteuning hiervan op 11 april 2017 stopte. Kwetsbaarheden die in deze versie worden gevonden, worden niet meer door Microsoft gepatcht.

Midden oktober 2020 wordt de support van Exchange 2010 beëindigd, waarvan er nog meer dan 166.000 servers zijn te vinden op internet. Over een aantal maanden zullen deze systemen geen beveiligingsupdates meer ontvangen. Er wordt organisaties en beheerders dringend geadviseerd om de voor kwetsbaarheid CVE-2020-0688 beschikbare beveiligingsupdate te installeren en gecompromitteerde Exchange-omgevingen te controleren. Gebruik van de exploit laat aanwijzingen achter in de logbestanden.

Het door Rapid7 aangegeven percentage kwetsbare servers komt overeen met het onderzoek van securitybedrijf Kenna Security. Dit bedrijf heeft vorige maand de gegevens van honderden klanten bekeken en zag dat er slechts bij minder dan 15 procent de Exchange-update was uitgevoerd.

Bent u benieuwd hoe het bij uw organisatie gesteld is met patching van cruciale onderdelen in de IT infrastructuur? Neem contact met ons op. Bel 085 0606 496 of mail naar sirarthur@conandoyel.eu

Bron: Security.nl