NCSC geeft aanvullend advies kwetsbaarheden Microsoft Exchange Server

Op 4 maart heeft het Nationaal Cyber Security Centrum (NCSC) de aandacht gevraagd voor actief misbruik van kwetsbaarheden in Microsoft Exchange Server in Nederland. In dit nieuwsbericht geeft NCSC een aanvullend advies over hoe u kunt onderzoeken of er misbruik heeft plaatsgevonden en wat u kunt doen in geval van misbruik.

Reuters meldt inmiddels dat meer dan 20.000 Amerikaanse organisaties zijn gecompromitteerd via een achterdeur die is geïnstalleerd via onlangs gepatchte fouten in de e-mailsoftware van Microsoft. De Amerikaanse overheid onderzoekt deze zaak verder.

Wat is een Exchange Server?

Microsoft Exchange Server is een product dat wordt ingezet om e-mails te ontvangen en verzenden, al dan niet met bijlagen. De e-mails zijn meestal gekoppeld aan een eigen domein (@bedrijf.nl). Exchange servers hebben onder andere de functionaliteit om e-mail, contacten en agenda’s te synchroniseren met verschillende apparaten. Alle ontvangen en verzonden e-mails, bijlagen en e-mailadressen staan opgeslagen op de server.

Veel bedrijven maken gebruik van de on-premises en in eigen beheer versies van Exchange. Mailservers zijn vaak ook via het internet te benaderen zodat medewerkers overal hun e-mail kunnen lezen en beantwoorden. Exchange Servers die toegankelijk zijn via het internet, zijn ook door kwaadwillenden makkelijk te vinden.

Wat is het risico?

Wanneer de vier kwetsbaarheden gezamenlijk misbruikt worden, is het mogelijk om op de Microsoft Exchange Server authenticatie te omzeilen en externe (malware) code uit te voeren. Dit betekent dat kwaadwillenden bijvoorbeeld alle e-mailcommunicatie en de Global Address List kunnen inzien, kopiëren en verzenden naar een extern adres voor verder misbruik. Door het installeren van deze malware verkrijgen aanvallers langdurige externe toegang tot de Exchange omgeving, ook als nadien de uitgebrachte patches zijn geïnstalleerd. Deze aanwezigheid kan misbruikt worden om uw netwerk verder te compromitteren.

Wat kan ik doen?

1. Installeer zo snel mogelijk de door Microsoft uitgebrachte patches.
2. De beveiligingsupdates zijn beschikbaar voor Exchange Server 2013, 2016 en 2019. Op de website van Microsoft is hierover meer informatie te vinden. Let hierbij vooral op de aangeraden correcte wijze van het installeren van de updates. Microsoft geeft aan dat het handmatig installeren van de updates, zonder beheerdersrechten, mogelijk problemen kan veroorzaken. Neem contact op met uw IT-dienstverlener als de Exchange Server niet in eigen beheer is. Verzoek de IT-dienstverlener de updates zo snel mogelijk te installeren.
3. Wanneer uw organisatie nog niet in staat is om de door Microsoft recent uitgebrachte patches toe te passen, adviseert Microsoft om mitigerende maatregelen te nemen om tussentijds de risico’s op misbruik te verminderen. Deze maatregelen zijn geen vervanging van de eerder genoemde patches en het is dan ook zeer sterk aan te raden om deze alsnog zo spoedig mogelijk te installeren. Daarnaast adviseren we u adequate monitoring en aanvullende preventiemaatregelen toe te passen. 
4. Laat de server(s) controleren op mogelijke compromittatie.

Hoe controleer ik op mogelijk misbruik?

1. Controleer of laat uw Exchange Server controleren aan de hand van de door Microsoft uitgebrachte scripts op de bekende Indicators-of-Compromise (IoC’s). Ook al heeft u uw Microsoft Exchange Server gepatcht, dan adviseren wij u om de server toch te controleren op eventueel misbruik aan de hand van de Microsoft scripts. Advies is om in ieder geval activiteiten na 1 september 2020 te monitoren. Naast Microsoft heeft ook CERT-LV scripts gepubliceerd om mogelijk misbruik te detecteren. 
2. Monitor de activiteit op uw systeem. Hierbij kunt u denken aan:
   1. Onverwachte benadering van buitenlandse en/of onbekende IP-adressen
   2. Onverwachte benadering op tijdstippen buiten reguliere werktijden

Wat moet ik doen bij mogelijk misbruik?

1. Laat uw systeem controleren; zorg voor adequate backups
2. Reset uw wachtwoorden en gebruikersgegevens
3. Doe aangifte bij de Politie
4. Overweeg een melding te doen bij de Autoriteit Persoonsgegevens
5. Herstel uw systeem of richt dit opnieuw in

Ga er vanuit dat ook de oudere versies van Exchange Server kwetsbaar zijn. Deze versies zijn echter End of Life en worden niet meer ondersteund. Als u nog gebruik maakt van verouderde Exchange server omgevingen, dan adviseert het NCSC – naast bovenstaande controle - om deze versies zo spoedig mogelijk te upgraden naar een recente, ondersteunde versie.

Aanvullende informatie

Let op: Beveiligingsupdates voor Microsoft Exchange Server zijn alleen beschikbaar voor servers die een bepaalde versie van de zogenaamde ‘Cumulatieve Update’ geïnstalleerd hebben. Om de drie tot vier maanden brengt Microsoft een ‘Cumulatieve Update’ uit. Deze update moet voor de versie van Exchange Server 2013, 2016 en 2019 handmatig geïnstalleerd worden.

Vertrouw dus niet enkel op het automatische updateproces van Microsoft Exchange Server.

Meer informatie vindt u op de Microsoft website.

De beveiligingsupdates voor de hierboven beschreven kwetsbaarheden zijn beschikbaar voor de volgende versies:

• Microsoft Exchange Server 2013 Cumulative Update 23
• Microsoft Exchange Server 2016 Cumulative Update 18
• Microsoft Exchange Server 2016 Cumulative Update 19
• Microsoft Exchange Server 2019 Cumulative Update 7
• Microsoft Exchange Server 2019 Cumulative Update 8