JavaScript is not enabled in your browser.
Terug naar overzicht

Nieuws

Let op, belangrijk nieuws voor gebruikers van Microsoft Exchange Server

03-10-2022

newsItem.foto.alt

Wat is er aan de hand?

Microsoft is op de hoogte van beperkte gerichte aanvallen sinds eind september met behulp van twee gerapporteerde zero-day kwetsbaarheden die van invloed zijn op:

·         Microsoft Exchange Server 2013

·         Exchange Server 2016

·         Exchange Server 2019

Microsoft Exchange Online gebruikers worden niet getroffen.

De eerste, geïdentificeerd als CVE-2022-41040, is een kwetsbaarheid voor server-side request forgery (SSRF), terwijl de tweede, geïdentificeerd als CVE-2022-41082, remote code execution (RCE) mogelijk maakt wanneer Exchange PowerShell toegankelijk is voor de aanvaller. Met CVE-2022-41040 kan een geverifieerde aanvaller CVE-2022-41082 op afstand activeren. Er is echter geauthenticeerde toegang tot de kwetsbare Exchange Server nodig om beide kwetsbaarheden met succes uit te buiten, en ze kunnen afzonderlijk worden gebruikt.

image.png

Diagram met het aanval schema (Bron: Microsoft Security):

Wat zijn Server-Side Request Forgery en Remote Code Execution-aanvallen?

Server-Side Request Forgery (SSRF) is een aanval waarbij aanvallers toegang krijgen tot een applicatie die gegevensimport vanuit URL's ondersteunt. Hierdoor kunnen zij de functionaliteit van een server misbruiken of de URL's manipuleren door ze te vervangen door nieuwe. Wanneer een aanvaller de URL's controleert, kan hij de servers opdrachten geven om gegevens in te lezen in de gemanipuleerde/gewijzigde URL. De aanvaller kan dit type aanval gebruiken om de server te misleiden door kwaadaardige verzoeken te sturen naar andere servers of diensten die toegankelijk zijn voor de server, zoals interne netwerkdiensten of databases. Dit type aanval kan worden gebruikt om toegang te krijgen tot gevoelige informatie of om andere soorten aanvallen uit te voeren, zoals DoS-aanvallen (denial of service).

Bij Remote Code Execution (RCE) daarentegen voert een aanvaller op afstand kwaadaardige code uit op het systeem. Zodra de hacker via een RCE-kwetsbaarheid in het systeem komt, kan hij malware uitvoeren of zelfs volledige controle over het getroffen systeem krijgen.

Hoe CVE-2022-41040 en CVE-2022-41082 kwetsbaarheden te beperken?

Microsoft heeft echter al aanwijzingen gegeven over hoe CVE-2022-41040 en CVE-2022-41082 te mitigeren en te detecteren. Er komen regelmatig aanwijzingen en richtlijnen in het openbaar. Raadpleeg de blog van het Microsoft Security Response Center voor richtlijnen voor het verhelpen van deze kwetsbaarheden en blijf regelmatig op de hoogte van mitigatie en detectie updates via de officiële pagina’s van Microsoft ( o.a. https://www.microsoft.com/security of https://techcommunity.microsoft.com ) en neem ook desnoods contact op met je IT-provider als jullie on-site Microsoft Exchange Servers in gebruik hebben.



 

Onze website gebruikt cookies om de gebruikerservaring te verbeteren. Meer informatie