Op 4 maart heeft het Nationaal Cyber Security Centrum (NCSC) de aandacht gevraagd voor actief misbruik van kwetsbaarheden in Microsoft Exchange Server in Nederland. In dit nieuwsbericht geeft NCSC een aanvullend advies over hoe u kunt onderzoeken of er misbruik heeft plaatsgevonden en wat u kunt doen in geval van misbruik.
Reuters meldt inmiddels dat meer dan 20.000 Amerikaanse organisaties zijn gecompromitteerd via een achterdeur die is geïnstalleerd via onlangs gepatchte fouten in de e-mailsoftware van Microsoft. De Amerikaanse overheid onderzoekt deze zaak verder.
Wat is een Exchange Server?
Microsoft Exchange Server is een product dat wordt ingezet om e-mails te ontvangen en verzenden, al dan niet met bijlagen. De e-mails zijn meestal gekoppeld aan een eigen domein (@bedrijf.nl). Exchange servers hebben onder andere de functionaliteit om e-mail, contacten en agenda’s te synchroniseren met verschillende apparaten. Alle ontvangen en verzonden e-mails, bijlagen en e-mailadressen staan opgeslagen op de server.
Veel bedrijven maken gebruik van de on-premises en in eigen beheer versies van Exchange. Mailservers zijn vaak ook via het internet te benaderen zodat medewerkers overal hun e-mail kunnen lezen en beantwoorden. Exchange Servers die toegankelijk zijn via het internet, zijn ook door kwaadwillenden makkelijk te vinden.
Wat is het risico?
Wanneer de vier kwetsbaarheden gezamenlijk misbruikt worden, is het mogelijk om op de Microsoft Exchange Server authenticatie te omzeilen en externe (malware) code uit te voeren. Dit betekent dat kwaadwillenden bijvoorbeeld alle e-mailcommunicatie en de Global Address List kunnen inzien, kopiëren en verzenden naar een extern adres voor verder misbruik. Door het installeren van deze malware verkrijgen aanvallers langdurige externe toegang tot de Exchange omgeving, ook als nadien de uitgebrachte patches zijn geïnstalleerd. Deze aanwezigheid kan misbruikt worden om uw netwerk verder te compromitteren.
Wat kan ik doen?
Hoe controleer ik op mogelijk misbruik?
Wat moet ik doen bij mogelijk misbruik?
Ga er vanuit dat ook de oudere versies van Exchange Server kwetsbaar zijn. Deze versies zijn echter End of Life en worden niet meer ondersteund. Als u nog gebruik maakt van verouderde Exchange server omgevingen, dan adviseert het NCSC – naast bovenstaande controle - om deze versies zo spoedig mogelijk te upgraden naar een recente, ondersteunde versie.
Aanvullende informatie
Let op: Beveiligingsupdates voor Microsoft Exchange Server zijn alleen beschikbaar voor servers die een bepaalde versie van de zogenaamde ‘Cumulatieve Update’ geïnstalleerd hebben. Om de drie tot vier maanden brengt Microsoft een ‘Cumulatieve Update’ uit. Deze update moet voor de versie van Exchange Server 2013, 2016 en 2019 handmatig geïnstalleerd worden.
Vertrouw dus niet enkel op het automatische updateproces van Microsoft Exchange Server.
Meer informatie vindt u op de Microsoft website.
De beveiligingsupdates voor de hierboven beschreven kwetsbaarheden zijn beschikbaar voor de volgende versies: