Veel Exchange-servers die de afgelopen weken door aanvallers zijn gecompromitteerd en besmet met een webshell zijn nog niet verder aangevallen, bijvoorbeeld met ransomware. Dat laat Microsoft weten. Meer dan 92 procent van alle Exchange-servers toegankelijk vanaf het internet is inmiddels gepatcht of door middel van genomen mitigatiemaatregelen beschermd tegen aanvallen.

Op 2 maart rolde Microsoft noodpatches uit voor vier kwetsbaarheden in Exchange 2013, 2016 en 2019 waardoor een aanvaller kwetsbare Exchange-servers op afstand kan overnemen. De beveiligingslekken werden al voor het uitkomen van de patches aangevallen, door een "nation-state actor" die vanuit China opereert, aldus Microsoft. In de drie weken na het uitkomen van de updates zag het techbedrijf dat allerlei andere aanvallers ook misbruik van de kwetsbaarheden maakten.

Tijdens het onderzoek naar de Exchange-aanvallen zag Microsoft dat servers door meerdere aanvallers waren gecompromitteerd. Deze aanvallers installeren een webshell zodat ze toegang tot de server behouden. Het installeren van de beveiligingsupdates zorgt er niet voor dat de webshell wordt verwijderd. Bij veel van de besmette systemen die Microsoft waarnam zijn er nog geen aanvullende aanvallen waargenomen, zoals het installeren van ransomware of het stelen van gegevens.

Volgens Microsoft hebben aanvallers geprobeerd om eerst zoveel systemen als mogelijk te infecteren. Daarbij hebben sommige aanvallers andere aanvallers die al op het systeem aanwezig waren verwijderd. In het geval er wel aanvullende aanvallen plaatsvonden gaat het onder andere om de installatie van ransomware en cryptominers, die de rekenkracht van de server gebruiken voor het delven van cryptovaluta.

Tevens proberen aanvallers inloggegevens te stelen waarmee ze toegang tot de server kunnen krijgen en behouden. "Het aantal waargenomen aanvallen waarbij inloggegevens wordt gestolen, gecombineerd met de hoge rechten van accounts voor Exchange-servers, houdt in dat deze aanvallen organisaties kunnen blijven raken wanneer het systeem niet volledig na een aanval wordt opgeschoond, zelfs wanneer de updates zijn geïnstalleerd", stelt Microsoft.

In een nieuwe blogposting geeft het techbedrijf organisaties verschillende aanwijzingen om eventuele aanvallers te detecteren en vervolgstappen te nemen. Ook worden verschillende best practices gegeven, zoals het draaien van Exchange met verminderde rechten, het randomiseren van lokale beheerderswachtwoorden en ervoor zorgen dat accounts van domeinbeheerders niet op 'member servers' en werkstations kunnen inloggen.