De Duitse overheid is begonnen met het informeren van netwerkproviders over kwetsbare Exchange-servers in hun netwerken. De servers bevatten een kwetsbaarheid die wordt aangeduid als CVE-2020-0688. Via het beveiligingslek kan een aanvaller, die toegang tot het e-mailaccount van een gebruiker op de server heeft, willekeurige code met systeemrechten uitvoeren.
Op deze manier kan een aanvaller volledige controle over de server krijgen en bijvoorbeeld het e-mailverkeer onderscheppen en manipuleren. Op dinsdag 11 februari kwam Microsoft met een beveiligingsupdate voor de kwetsbaarheid. Nu acht maanden later blijken nog altijd duizenden servers niet te zijn geüpdatet, zo stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken.
Daar komt bij dat aanvallers actief misbruik van de kwetsbaarheid maken. Vorige maand maakte het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security nog bekend dat overheidsinstanties vaak via vier kwetsbaarheden worden aangevallen, waaronder het Exchange-lek in kwestie.
"Helaas blijven we zien dat gebruikers bestaande beveiligingsupdates maandenlang negeren en dus onnodige maar aanzienlijke risico's nemen. In dit geval is het met name ernstig dat de kwetsbaarheid vanaf het internet is te misbruiken en de benodigde aanvalscode online is verschenen en al is toegevoegd aan bekende aanvalstools", zegt BSI-voorzitter Arne Schönbohm.
Volgens Schönbohm is het de hoogste tijd dat organisaties de beveiligingsupdates gaan installeren. Het Computer Emergency Response Team van de Duitse overheid, CERT-Bund, dat onder het BSI valt, is daarom begonnen met het informeren van Duitse netwerkproviders over de ip-adressen van kwetsbare Exchange-servers in hun netwerk. De provider kan vervolgens klanten waarschuwen dat ze hun Exchange-server moeten updaten.
Deze week liet NBIP, de Nationale Beheersorganisatie Internetproviders, weten dat het een dergelijke rol in Nederland wil gaan vervullen. De organisatie heeft een systeem ontwikkeld dat meldingen van het Nationaal Cyber Security Centrum (NCSC) kan ontvangen en doorzetten naar de betreffende providers (pdf). Het NBIP hoopt dat het systeem in de toekomst kan worden uitgebreid, waarbij het ook meldingen van het NCSC ontvangt over kwetsbaarheden bij klanten van de internetproviders.
Deze posting is gelocked. Reageren is niet meer mogelijk.