Microsoft roept organisaties en bedrijven op om remote PowerShell op hun Exchange-servers uit te schakelen. Aanleiding is de aanwezigheid van twee zerodaylekken waar aanvallers op dit moment actief misbruik van maken voor het aanvallen van Exchange-servers. In Nederland zouden bijna achtduizend Exchange-servers risico lopen.

De eerste kwetsbaarheid (CVE-2022-41040) is een Server-Side Request Forgery (SSRF) kwetsbaarheid. Hiermee kan een aanvaller de functionaliteit van een server misbruiken om toegang tot resources te krijgen waar hij anders geen directe toegang toe zou hebben. De tweede kwetsbaarheid (CVE-2022-41082) maakte remote code execution (RCE) mogelijk wanneer PowerShell voor de aanvaller toegankelijk is.

Microsoft kwam vorige week al met een waarschuwing voor de zerodaylekken, die volgens het techbedrijf sinds augustus bij gerichte aanvallen "tot tien organisaties" zijn waargenomen. Via de kwetsbaarheden installeren de aanvallers een webshell waarmee ze toegang tot de server behouden en stelen allerlei informatie. Nu details over de kwetsbaarheden openbaar zijn geworden zal het aantal aanvallen naar verwachting toenemen. Een beveiligingsupdate is echter nog niet beschikbaar. Wel heeft Microsoft mitigerende maatregelen aangeraden, waaronder het instellen van Rewrite-url's op de Exchange-server, waardoor de huidige aanvallen niet meer werken.

Gisteren kwam Microsoft met een nieuw advies en roept organisaties nu op om remote PowerShell uit te schakelen voor gebruikers die geen beheerder zijn. Via remote PowerShell kan op afstand verbinding met de Exchange-server worden gemaakt. Daarnaast heeft Microsoft meer informatie gegeven waarmee organisaties kunnen controleren of hun Exchange-servers zijn aangevallen.

De kwetsbaarheden zijn aanwezig in Exchange Server 2013, 2016 en 2019. Volgens securitybedrijf Censys zijn er wereldwijd zo'n 188.000 Exchange-servers vanaf het internet toegankelijk. Daarvan bevinden zich er 7600 in Nederland, aldus het Microsoft Outlook Dashboard van het securitybedrijf.