Alle federale Amerikaanse overheidsinstanties moeten hun Exchange-servers op de aanwezigheid van malware controleren en hebben vijf dagen gekregen om dit te doen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft federale overheidsinstanties hier via nieuwe noodinstructies toe opgedragen.
Een dag nadat Microsoft op 2 maart noodpatches had uitgebracht voor vier kwetsbaarheden in Exchange Server 2013, 2016 en 2019, kwam het CISA met een zogeheten 'emergency directive' waarin federale Amerikaanse overheidsinstanties worden opgedragen verschillende maatregelen uit te voeren, zoals het controleren op sporen van eventuele aanvallers en het loskoppelen van alle Exchange-servers mocht het uitvoeren van een dergelijke controle niet mogelijk zijn.
De kwetsbaarheden in Exchange werden al voor het uitkomen van de noodpatches aangevallen, maar sinds het uitkomen van de updates is er een toename van het aantal aanvallen zichtbaar. Via de beveiligingslekken is het mogelijk voor aanvallers om kwetsbare Exchange-servers op afstand over te nemen. Sindsdien heeft Microsoft ook verschillende tools uitgebracht die organisaties moeten helpen bij het opschonen en beschermen van Exchange-servers.
Het CISA wil nu dat overheidsinstanties in de Verenigde Staten Microsofts Test-ProxyLogon.ps1script en een scan met de Microsoft Safety Scanner uitvoeren om te kijken of hun Exchange-server is gecompromitteerd. Ongeacht het resultaat van de scans moeten overheidsinstanties hun bevindingen aan het CISA rapporteren. Dit moet uiterlijk voor maandmiddag 5 april zijn gedaan.
Daarnaast moeten alle federale overheidsinstanties aanvullende beveiligingsmaatregelen voor hun Exchange-servers doorvoeren. Zo moet er een firewall tussen de server en het internet worden geplaatst, moeten alle beveiligingsupdates binnen 48 uur na het beschikbaar komen worden geïnstalleerd en mogen alleen ondersteunde Exchange- en OS-versies worden gebruikt.
Tevens moeten de rechten en permissies van Exchange worden bekeken en indien nodig aangepast, moeten alle logs van het onderliggende besturingssysteem en Exchange 180 dagen worden bewaard en moeten alle Exchange-servers zijn uitgerust met antivirussoftware die over recente signatures beschikt. Deze maatregelen moeten voor 28 juni van dit jaar zijn doorgevoerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.