Microsoft adviseert uitschakelen remote PowerShell op Exchange-servers
Microsoft roept organisaties en bedrijven op om remote PowerShell op hun Exchange-servers uit te schakelen. Aanleiding is de aanwezigheid van twee zerodaylekken waar aanvallers op dit moment actief misbruik van maken voor het aanvallen van Exchange-servers. In Nederland zouden bijna achtduizend Exchange-servers risico lopen.
De eerste kwetsbaarheid (CVE-2022-41040) is een Server-Side Request Forgery (SSRF) kwetsbaarheid. Hiermee kan een aanvaller de functionaliteit van een server misbruiken om toegang tot resources te krijgen waar hij anders geen directe toegang toe zou hebben. De tweede kwetsbaarheid (CVE-2022-41082) maakte remote code execution (RCE) mogelijk wanneer PowerShell voor de aanvaller toegankelijk is.
Microsoft kwam vorige week al met een waarschuwing voor de zerodaylekken, die volgens het techbedrijf sinds augustus bij gerichte aanvallen "tot tien organisaties" zijn waargenomen. Via de kwetsbaarheden installeren de aanvallers een webshell waarmee ze toegang tot de server behouden en stelen allerlei informatie. Nu details over de kwetsbaarheden openbaar zijn geworden zal het aantal aanvallen naar verwachting toenemen. Een beveiligingsupdate is echter nog niet beschikbaar. Wel heeft Microsoft mitigerende maatregelen aangeraden, waaronder het instellen van Rewrite-url's op de Exchange-server, waardoor de huidige aanvallen niet meer werken.
Gisteren kwam Microsoft met een nieuw advies en roept organisaties nu op om remote PowerShell uit te schakelen voor gebruikers die geen beheerder zijn. Via remote PowerShell kan op afstand verbinding met de Exchange-server worden gemaakt. Daarnaast heeft Microsoft meer informatie gegeven waarmee organisaties kunnen controleren of hun Exchange-servers zijn aangevallen.
De kwetsbaarheden zijn aanwezig in Exchange Server 2013, 2016 en 2019. Volgens securitybedrijf Censys zijn er wereldwijd zo'n 188.000 Exchange-servers vanaf het internet toegankelijk. Daarvan bevinden zich er 7600 in Nederland, aldus het Microsoft Outlook Dashboard van het securitybedrijf.
Dat ontgaat mij ook een beetje. Je kunt "dingen" automatiseren door PowerShell te gebruiken maar waarom zouden gewone gebruikers dat nodig hebben?
https://en.wikipedia.org/wiki/Mandatory_access_control
https://en.wikipedia.org/wiki/Mandatory_Integrity_Control
Dat ontgaat mij ook een beetje. Je kunt "dingen" automatiseren door PowerShell te gebruiken maar waarom zouden gewone gebruikers dat nodig hebben?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
