Aanvallen tegen Microsoft Exchange Server waarbij gebruikt wordt gemaakt van twee zerodaylekken, die eerder deze week openbaar werden gemaakt, zijn sinds augustus bij Microsoft bekend. Updates zijn nog altijd niet beschikbaar en het techbedrijf verwacht dat het aantal aanvallen zal toenemen. Volgens Microsoft zijn de twee kwetsbaarheden, waarmee een aanvaller kwetsbare Exchange-servers op afstand kan overnemen, de afgelopen weken op kleine en gerichte schaal gebruikt.
Microsoft is naar eigen zeggen bekend met aanvallen tegen minder dan tien organisaties wereldwijd. Bij deze organisaties, waarvan de naam niet is genoemd, werd de Active Directory verkend en data gestolen. De aanvallen zouden het werk van één groep zijn, die vermoedelijk door een staat wordt gesteund. Om Exchange-servers aan te kunnen vallen moet een aanvaller wel over inloggegevens van een e-mailaccount beschikken, maar die zijn op allerlei manieren te verkrijgen, aldus Microsoft.
Nadat de aanvallen in augustus werden waargenomen startte Microsoft een onderzoek om te bepalen of er van onbekende kwetsbaarheden gebruik werd gemaakt. Vervolgens werden de twee zerodaylekken in september door het Zero Day Initiative aan Microsoft gerapporteerd. Deze week maakte securitybedrijf GTSC het bestaan van de twee kwetsbaarheden (CVE-2022-41040 en CVE-2022-4108) bekend. Microsoft verwacht dat misbruik van de zerodaylekken nu zal toenemen.
In afwachting van een beveiligingsupdate kunnen organisaties verschillende URL-rewrites voor hun Exchange-server instellen, die de huidige aanvallen voorkomen. Verder wordt gebruik van multifactorauthenticatie (MFA) aangeraden en het uitschakelen van legacy authenticatie. Dit moet voorkomen dat een aanvaller met gestolen inloggegevens op de Exchange-server kan inloggen.
Deze posting is gelocked. Reageren is niet meer mogelijk.