image

357.000 Exchange-servers kwetsbaar door niet geïnstalleerde update

dinsdag 7 april 2020, 13:37 door Redactie, 24 reacties

Meer dan 357.000 Exchange-servers zijn kwetsbaar voor aanvallen doordat een beveiligingsupdate voor een ernstige kwetsbaarheid niet is geïnstalleerd. Dat meldt securitybedrijf Rapid7 op basis van onderzoek onder 433.000 Exchange-servers. Het beveiligingslek wordt al ruim een maand actief aangevallen.

Via de kwetsbaarheid kan een aanvaller, die toegang tot het e-mailaccount van een gebruiker op de server heeft, willekeurige code met systeemrechten uitvoeren. Op deze manier kan een aanvaller volledige controle over de server krijgen en bijvoorbeeld het e-mailverkeer onderscheppen en manipuleren. Op dinsdag 11 februari kwam Microsoft met een beveiligingsupdate voor de kwetsbaarheid. Twee weken later op 25 februari publiceerde het Zero Day Initiative (ZDI) meer details over het beveiligingslek. Kort na het verschijnen van deze uitleg vinden er aanvallen plaats.

Eind maart besloot Rapid7 op internet te zoeken naar publiek toegankelijke Exchange Outlook Web App (OWA) services. Dit leverde iets meer dan 433.000 Exchange-servers op. Daarvan waren er meer dan 357.000 kwetsbaar doordat de sinds februari beschikbaar zijnde update niet was geïnstalleerd. Het werkelijke aantal kwetsbare servers ligt mogelijk hoger, omdat sommige van de servers die Rapid7 als veilig beschouwt niet zijn gepatcht. Dit komt doordat de testmethode niet precies genoeg is bij het bepalen van de gebruikte versie. Bij de 357.000 servers waarvan is vastgesteld dat ze kwetsbaar zijn was het zonder twijfel duidelijk dat ze niet zijn geüpdatet.

De problemen met het installeren van beveiligingsupdates voor Exchange gaan echter verder dan alleen deze ene beveiligingsupdate. Meer dan 31.000 Exchange 2010-servers hebben sinds 2012 geen patches ontvangen. Bijna achthonderd Exchange 2010-servers zijn zelfs nog nooit geüpdatet. Tevens blijkt dat er nog zo'n 9.000 Exchange 2007-servers zijn. De ondersteuning van Exchange 2007 stopte op 11 april 2017. Gevonden kwetsbaarheden in deze versie van Exchange worden niet meer door Microsoft gepatcht.

Op 13 oktober 2020 eindigt de support van Exchange 2010, waarvan nog meer dan 166.000 servers op internet zijn te vinden. Al deze systemen zullen over een aantal maanden geen beveiligingsupdates meer ontvangen. Organisaties en beheerders krijgen het dringende advies om de beschikbare beveiligingsupdate voor kwetsbaarheid CVE-2020-0688 te installeren en op eventueel gecompromitteerde Exchange-omgevingen te controleren. Het gebruik van de exploit laat aanwijzingen in de logbestanden achter.

Het percentage kwetsbare servers van Rapid7 komt overeen met onderzoek van securitybedrijf Kenna Security. Dat bedrijf bekeek vorige maand de gegevens van honderden klanten en zag dat bij minder dan 15 procent de Exchange-update was geïnstalleerd.

Reacties (24)
07-04-2020, 13:40 door Anoniem
Gelukkig weet iedereen dat je microsoft producten nooit direct aan het internet moet hangen..... ;)
07-04-2020, 14:24 door Anoniem
Door Anoniem: Gelukkig weet iedereen dat je Microsoft producten nooit direct aan het internet moet hangen..... ;)
gelukig gebruikt ook geen enkele klant OWA of ActiveSync.....

Maar meestal draait er inderdaad een reverse proxy voor deze services.

En als SMTP gateway is het bijvoorbeeld mogelijk om een Exim server te plaatsen.....https://www.security.nl/posting/552854/Onderzoeker%3A+400_000+mailservers+lopen+risico+door+Exim-lek
07-04-2020, 14:25 door Anoniem
Door Anoniem: Gelukkig weet iedereen dat je microsoft producten nooit direct aan het internet moet hangen..... ;)
Net zoals veel andere OS'EN!
07-04-2020, 15:41 door Anoniem
Sjeezus;

357.000 van de 433.000; dat is een score van 82%.

WTF?

Ik wist dat MS updates langzaam binnen komen en niet altijd koosjer zijn en dat daarom organisaties conservatief zijn, maar dit is wel heel erg!

zeker nu iedereen gedwongen thuis moet werken en dus die web interfance hard nodig heeft...

zo erg is het niet eens met IoT meuk uit china...
07-04-2020, 17:22 door souplost
Door Anoniem:
Door Anoniem: Gelukkig weet iedereen dat je microsoft producten nooit direct aan het internet moet hangen..... ;)
Net zoals veel andere OS'EN!
Nee hoor Microsoft gebruikt Linux tussen het internet en haar producten.
07-04-2020, 17:48 door karma4
Door souplost: Nee hoor Microsoft gebruikt Linux tussen het internet en haar producten.
Citrix Pulse … Firewalls IOT waar is de s van security? Beheerders en andere fanatii bezig met os flaming is het probleem.
07-04-2020, 17:49 door Anoniem
Door souplost:
Door Anoniem:
Door Anoniem: Gelukkig weet iedereen dat je microsoft producten nooit direct aan het internet moet hangen..... ;)
Net zoals veel andere OS'EN!
Nee hoor Microsoft gebruikt Linux tussen het internet en haar producten.
Of FreeBSD... Maar ook gewoon direct Windows Services. IIS is bijvoorbeeld een webserver die, als je het vergelijkt met andere, tegenwoordig een stuk veiliger.

Maar het hangt er allemaal vanaf hoe de configuratie is. Als je een Linux of FreeBSD loadbalancer gebruikt (wat Microsoft gebruikt), dan kun je perfect je IIS webserver hierachter gebruiken. Als je echter geen WAP/WAF hebt draaien op je loadbalancer, maakt dit alleen helemaal niets uit.

Bijvoorbeeld outlook.office365.com gebruikt loadbalancers, waar de netscaler een mogelijkheid is.
07-04-2020, 20:57 door Anoniem
Dit is wel heel schokkend. Ik snap dat je niet direct alle patches direct wil installeren, alleen meestal zijn op een default server config, zonder al te veel multirole zaken servers redelijk eenvoudig te patchen. Ik beheer zelf van een klant een omgeving, ook met exchange en deze wordt gewoon aan het eind van de maand gepatched. Exchange patch ik manually en c.a. 2 weken na de release van een cumulative update wordt deze geïnstalleerd.

Overigens, mensen met Exchange 2019, kunnen net zo goed direct upgraden naar CU5
https://support.microsoft.com/en-us/help/4537677/cumulative-update-5-for-exchange-server-2019

Bevat ook de fixes van:
4536987 Description of the security update for Microsoft Exchange Server 2019: February 11, 2020
4540123 Description of the security update for Microsoft Exchange Server 2019: March 10, 2020
07-04-2020, 21:17 door The FOSS
Door Anoniem:
Door Anoniem: Gelukkig weet iedereen dat je microsoft producten nooit direct aan het internet moet hangen..... ;)
Net zoals veel andere OS'EN!

Nee, deze raadgeving is duidelijk specifiek van toepassing op Microsoft Windows. Weinig verrassend, als je de aanhoudende stroom van beveiligingsproblemen berichten in de media volgt.
07-04-2020, 21:21 door souplost
Door Anoniem:
Door souplost:
Door Anoniem:
Door Anoniem: Gelukkig weet iedereen dat je microsoft producten nooit direct aan het internet moet hangen..... ;)
Net zoals veel andere OS'EN!
Nee hoor Microsoft gebruikt Linux tussen het internet en haar producten.
Of FreeBSD... Maar ook gewoon direct Windows Services. IIS is bijvoorbeeld een webserver die, als je het vergelijkt met andere, tegenwoordig een stuk veiliger.

Maar het hangt er allemaal vanaf hoe de configuratie is. Als je een Linux of FreeBSD loadbalancer gebruikt (wat Microsoft gebruikt), dan kun je perfect je IIS webserver hierachter gebruiken. Als je echter geen WAP/WAF hebt draaien op je loadbalancer, maakt dit alleen helemaal niets uit.

Bijvoorbeeld outlook.office365.com gebruikt loadbalancers, waar de netscaler een mogelijkheid is.

Check Hosting History: https://sitereport.netcraft.com/?url=www.microsoft.com
07-04-2020, 21:24 door souplost
Door karma4:
Door souplost: Nee hoor Microsoft gebruikt Linux tussen het internet en haar producten.
Citrix Pulse … Firewalls IOT waar is de s van security? Beheerders en andere fanatii bezig met os flaming is het probleem.
Komt hij weer aan met zijn vlammen. Check even de Hollandse chapter:
https://sitereport.netcraft.com/?url=www.microsoft.nl
07-04-2020, 23:00 door The FOSS
Door souplost:
Door karma4:
Door souplost: Nee hoor Microsoft gebruikt Linux tussen het internet en haar producten.
Citrix Pulse … Firewalls IOT waar is de s van security? Beheerders en andere fanatii bezig met os flaming is het probleem.
Komt hij weer aan met zijn vlammen. Check even de Hollandse chapter:
https://sitereport.netcraft.com/?url=www.microsoft.nl

Flaming, in goed Nederlands:
https://nl.m.wikipedia.org/wiki/Flaming
07-04-2020, 23:34 door Joep Lunaar
Door Anoniem: ... IIS is bijvoorbeeld een webserver die, als je het vergelijkt met andere, tegenwoordig een stuk veiliger.
error, syntax: missing verb.

Maar het hangt er allemaal vanaf hoe de configuratie is. Als je een Linux of FreeBSD loadbalancer gebruikt (wat Microsoft gebruikt), dan kun je perfect je IIS webserver hierachter gebruiken. Als je echter geen WAP/WAF hebt draaien op je loadbalancer, maakt dit alleen helemaal niets uit.

Bijvoorbeeld outlook.office365.com gebruikt loadbalancers, waar de netscaler een mogelijkheid is.
warming, semantics: to much showy nonsence, bli
08-04-2020, 01:09 door Anoniem
Door Anoniem: Sjeezus;

357.000 van de 433.000; dat is een score van 82%.

WTF?

Ik wist dat MS updates langzaam binnen komen en niet altijd koosjer zijn en dat daarom organisaties conservatief zijn, maar dit is wel heel erg!

zeker nu iedereen gedwongen thuis moet werken en dus die web interfance hard nodig heeft...

zo erg is het niet eens met IoT meuk uit china...

Ja maar dat exchange lijkt ook een aan elkaar geknoopte rommel. Updates van 200MB ~ 500MB wtf. Als je een update installeerd, doet iets het weer niet. Of services starten niet. En dan die idiote trace logging die standaard aanstaat en GB's aan logs per dag produceerd. Zo van, ehhh, we weten ook niet wat er allemaal mis kan gaan laten we maar zoveel mogelijk loggen.
08-04-2020, 09:34 door Anoniem
Door Anoniem:
Door Anoniem: Sjeezus;

357.000 van de 433.000; dat is een score van 82%.

WTF?

Ik wist dat MS updates langzaam binnen komen en niet altijd koosjer zijn en dat daarom organisaties conservatief zijn, maar dit is wel heel erg!

zeker nu iedereen gedwongen thuis moet werken en dus die web interfance hard nodig heeft...

zo erg is het niet eens met IoT meuk uit china...

Ja maar dat exchange lijkt ook een aan elkaar geknoopte rommel. Updates van 200MB ~ 500MB wtf. Als je een update installeerd, doet iets het weer niet. Of services starten niet. En dan die idiote trace logging die standaard aanstaat en GB's aan logs per dag produceerd. Zo van, ehhh, we weten ook niet wat er allemaal mis kan gaan laten we maar zoveel mogelijk loggen.

Maar dat doe je toch je support belletje naar MS en klaag je daar toch over in de hoop dat als er maar genoeg klagen er ook daadwerkelijk iets gedaan wordt? Dat was toch het idee en de afspraak? Of merken we hier pijnlijk duidelijk dat bepaalde theoretische constructies inde praktijk toch wat weerbastiger zijn? Support; als het er werkelijk op aan komt, komt het vrijwel altijd te laat, ongeacht wat je van te voren er voor betaald hebt.
08-04-2020, 09:41 door Anoniem
Door Anoniem:
Door Anoniem: Gelukkig weet iedereen dat je microsoft producten nooit direct aan het internet moet hangen..... ;)
Net zoals veel andere OS'EN!
exchange is geen OS. Ook geen emailserver, trouwens.

(Het is een "collaboration server", werkt leuk samen met "collaboration client" outlook... maar beide zijn [x] Ongeschikt als emailserver respectievelijk -client. Dus leuk voor je werkgroepje maar je hebt er weinig aan zodra je daarbuiten moet samenwerken, en Echte Emails versturen en ontvangen. Niet dat den modernen mensch het verschil nog weet, maar soit.)
08-04-2020, 10:36 door Anoniem
Door souplost:
Door Anoniem:
Door souplost:
Door Anoniem:
Door Anoniem: Gelukkig weet iedereen dat je microsoft producten nooit direct aan het internet moet hangen..... ;)
Net zoals veel andere OS'EN!
Nee hoor Microsoft gebruikt Linux tussen het internet en haar producten.
Of FreeBSD... Maar ook gewoon direct Windows Services. IIS is bijvoorbeeld een webserver die, als je het vergelijkt met andere, tegenwoordig een stuk veiliger.

Maar het hangt er allemaal vanaf hoe de configuratie is. Als je een Linux of FreeBSD loadbalancer gebruikt (wat Microsoft gebruikt), dan kun je perfect je IIS webserver hierachter gebruiken. Als je echter geen WAP/WAF hebt draaien op je loadbalancer, maakt dit alleen helemaal niets uit.

Bijvoorbeeld outlook.office365.com gebruikt loadbalancers, waar de netscaler een mogelijkheid is.

Check Hosting History: https://sitereport.netcraft.com/?url=www.microsoft.com

En wat bedoel je hiermee? Het is trouwens een CDN dus verteld niet echt meer wat er achter zit. Is zo te zien een Linux server met een onbekende webserver. Of misschien een proxy server, met daarachter Windows/IIS?

Dus? Wat zegt dat? Men gebruikt daar zo te zien een Linux servers bij. Wat is daar mis mee?

Dat zegt nog steeds niet dat ze direct aan het Internet hangen. Wat er zal hier zeker een loadbalancer voor zitten om de load te verdelen over meerdere servers infrastructuren. Die zullen vast ook iets van WAP of WAF doen.

Prachtig toch? Gebruik de beste software op de beste plek.

Maar om je eigen quote even te gebruiken: Check hosting history https://sitereport.netcraft.com/?url=outlook.office365.com => Microsoft-IIS/10.0
08-04-2020, 10:40 door souplost
Door Anoniem:
Door Anoniem:
Door Anoniem: Gelukkig weet iedereen dat je microsoft producten nooit direct aan het internet moet hangen..... ;)
Net zoals veel andere OS'EN!
exchange is geen OS. Ook geen emailserver, trouwens.

(Het is een "collaboration server", werkt leuk samen met "collaboration client" outlook... maar beide zijn [x] Ongeschikt als emailserver respectievelijk -client. Dus leuk voor je werkgroepje maar je hebt er weinig aan zodra je daarbuiten moet samenwerken, en Echte Emails versturen en ontvangen. Niet dat den modernen mensch het verschil nog weet, maar soit.)
Niet alleen daarbuiten hoor. Moet nu thuis verplicht met Outlook werken (via bedrijfsvpn).Ik heb een uur moeten zoeken hoe je een al verstuurde email opnieuw kan bewerken en versturen.
08-04-2020, 11:42 door A.J.
Door souplost:
Door Anoniem:
Door Anoniem:
Door Anoniem: Gelukkig weet iedereen dat je microsoft producten nooit direct aan het internet moet hangen..... ;)
Net zoals veel andere OS'EN!
exchange is geen OS. Ook geen emailserver, trouwens.

(Het is een "collaboration server", werkt leuk samen met "collaboration client" outlook... maar beide zijn [x] Ongeschikt als emailserver respectievelijk -client. Dus leuk voor je werkgroepje maar je hebt er weinig aan zodra je daarbuiten moet samenwerken, en Echte Emails versturen en ontvangen. Niet dat den modernen mensch het verschil nog weet, maar soit.)
Niet alleen daarbuiten hoor. Moet nu thuis verplicht met Outlook werken (via bedrijfsvpn).Ik heb een uur moeten zoeken hoe je een al verstuurde email opnieuw kan bewerken en versturen.
Een uur? Dan ben je wel heel dom bezig geweest.
08-04-2020, 14:13 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Gelukkig weet iedereen dat je microsoft producten nooit direct aan het internet moet hangen..... ;)
Net zoals veel andere OS'EN!
exchange is geen OS. Ook geen emailserver, trouwens.

(Het is een "collaboration server", werkt leuk samen met "collaboration client" outlook... maar beide zijn [x] Ongeschikt als emailserver respectievelijk -client. Dus leuk voor je werkgroepje maar je hebt er weinig aan zodra je daarbuiten moet samenwerken, en Echte Emails versturen en ontvangen. Niet dat den modernen mensch het verschil nog weet, maar soit.)
En daarom werkt bijna de complete wereld met Exchange (online) en outlook?

Door souplost:
Niet alleen daarbuiten hoor. Moet nu thuis verplicht met Outlook werken (via bedrijfsvpn).Ik heb een uur moeten zoeken hoe je een al verstuurde email opnieuw kan bewerken en versturen.

Klinkt als een User Error
08-04-2020, 14:16 door Anoniem
Door souplost:
Check Hosting History: https://sitereport.netcraft.com/?url=www.microsoft.com
Misschien even vergeten dat het een CDN is? Dus er waarschijnlijk een proxy server voor zit.

Daarnaast wat zegt dit precies, misschien een Linux Loadbalancer?
En waarom mag Microsoft geen Linux gebruiken?

Check Hosting History: https://sitereport.netcraft.com/?url=outlook.office365.com => Microsoft-IIS/10.0

Maar ook hier zitten loadbalancer / netscalers tussen.
08-04-2020, 17:40 door Anoniem
" En daarom werkt bijna de complete wereld met Exchange (online) en outlook? "

en dat gaat leeeeeeekkkkkkeeeeerrrrrrrrr NOT!

82% van die wereld is niet up-to-date dude!
09-04-2020, 00:18 door souplost
Door Anoniem:
Door souplost:
Check Hosting History: https://sitereport.netcraft.com/?url=www.microsoft.com
Misschien even vergeten dat het een CDN is? Dus er waarschijnlijk een proxy server voor zit.

Daarnaast wat zegt dit precies, misschien een Linux Loadbalancer?
En waarom mag Microsoft geen Linux gebruiken?

Check Hosting History: https://sitereport.netcraft.com/?url=outlook.office365.com => Microsoft-IIS/10.0

Maar ook hier zitten loadbalancer / netscalers tussen.
Het ging over dat je geen Microsoft producten aan het internet moet hangen. Microsoft levert dus zelf het bewijs.
11-04-2020, 19:31 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Gelukkig weet iedereen dat je microsoft producten nooit direct aan het internet moet hangen..... ;)
Net zoals veel andere OS'EN!
exchange is geen OS. Ook geen emailserver, trouwens.

(Het is een "collaboration server", werkt leuk samen met "collaboration client" outlook... maar beide zijn [x] Ongeschikt als emailserver respectievelijk -client. Dus leuk voor je werkgroepje maar je hebt er weinig aan zodra je daarbuiten moet samenwerken, en Echte Emails versturen en ontvangen. Niet dat den modernen mensch het verschil nog weet, maar soit.)
Incorrect, het is een groupware server. Sharepoint is het Microsoft product wat collaboration mogelijk maakt. En e-mail is een onderdeel van groupware, dus het is wel degelijk ook een e-mail server, met een mailstore datebase smtp client en server en zelfs pop en imap connectie mogelijkheden, mocht je daarvoor willen kiezen. (Al is dit inmiddels geloof ik uitgefaseerd)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.