Microsoft heeft de beveiligingsupdates voor vier kwetsbaarheden in Exchange die vorige week dinsdag verschenen ook beschikbaar gemaakt voor niet meer ondersteunde Exchange-servers. Dat laat het techbedrijf in de bijbehorende beveiligingsbulletins weten. Via de beveiligingslekken kan een aanvaller kwetsbare Exchange-servers op afstand overnemen.
Er wordt inmiddels op zeer grote schaal misbruik van de kwetsbaarheden gemaakt en wereldwijd zijn naar schatting vele tienduizenden organisaties getroffen. De beveiligingslekken zijn aanwezig in Server 2013, 2016 en 2019. Exchange-servers worden echter vanaf een bepaald patchniveau door Microsoft ondersteund. Dit wordt aangegeven door middel van de geïnstalleerde Cumulative Update (CU).
Exchange-servers moeten een bepaalde Cumulative Update hebben geïnstalleerd om beveiligingsupdates te ontvangen. Servers onder de betreffende Cumulative Update worden niet meer ondersteund. Vanwege de aanvallen heeft Microsoft nu voor deze versies ook updates beschikbaar gesteld. Het gaat onder andere om Exchange Server 2019 CU 6, CU 5 en CU 4 en Exchange Server 2016 CU 16, CU 15 en CU14.
Deze updates, die via het Microsoft Download Center beschikbaar zijn, verhelpen alleen de vier kwetsbaarheden in kwestie. Om tegen andere beveiligingslekken beschermd te zijn is de installatie van een recente Cumulative Update vereist.
Er is inmiddels ook kritiek op Microsoft gekomen, aangezien het techbedrijf begin januari al over de kwetsbaarheden was ingelicht. De bekende beveiligingsonderzoeker 'Orange Tsai' van securitybedrijf DEVCORE, die eerder de zeer kritieke en veel misbruikte kwetsbaarheid in Pulse Secure SSL VPN ontdekte, waarschuwde Microsoft begin januari en noemde het de gevaarlijkste remote code execution-kwetsbaarheid die hij ooit had ontdekt.
Securitybedrijven Volexity en Dubex ontdekten misbruik van de kwetsbaarheden begin januari. De bedrijven waarschuwden Microsoft eind januari en begin februari. Uiteindelijk kwam Microsoft op 2 maart met beveiligingsupdates. Oorspronkelijk was Microsoft van plan om de updates vandaag, tijdens de geplande patchcyclus van maart, uit te rollen, maar besloot daar toch vanaf te zien en de patches een week eerder aan te bieden.
Deze posting is gelocked. Reageren is niet meer mogelijk.