{"id":26768,"date":"2021-03-09T18:06:25","date_gmt":"2021-03-09T16:06:25","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=26768"},"modified":"2021-03-09T18:06:25","modified_gmt":"2021-03-09T16:06:25","slug":"exchange-vulnerabilities","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/exchange-vulnerabilities\/26768\/","title":{"rendered":"Massaal benutte kwetsbaarheden in MS Exchange Server"},"content":{"rendered":"<p>Microsoft heeft out-of-band patches uitgegeven voor verschillende kwetsbaarheden in Exchange Server Vier van deze kwetsbaarheden worden volgens het bedrijf al gebruikt voor gerichte aanvallen, dus het is zaak om <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-march-2021-exchange-server-security-updates\/ba-p\/2175901\" target=\"_blank\" rel=\"noopener nofollow\">deze patches zo snel mogelijk te installeren<\/a>.<\/p>\n<h2>Wat is het risico?<\/h2>\n<p>De vier gevaarlijkste kwetsbaarheden die al benut worden stellen aanvallers in staat om een aanval die uit drie fases bestaat uit te voeren. Eerst verkrijgen ze toegang tot de Exchange-server, vervolgens cre\u00ebren ze een web shell voor toegang op afstand tot de server, en ten slotte gebruiken ze die toegang om gegevens van het netwerk van slachtoffers te stelen. De kwetsbaarheden zijn:<\/p>\n<ul>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26855\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-26855<\/a>\u2014 kan worden gebruikt voor <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/server-side-request-forgery-ssrf\/\" target=\"_blank\" rel=\"noopener\">vervalsing van server-aanvragen<\/a>, wat leidt tot het op afstand uitvoeren van code;<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26857\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-26857<\/a> \u2014 kan worden gebruikt om willekeurige code uit te voeren namens het systeem (hoewel dat ofwel beheerdersrechten vereist ofwel het benutten van de vorige kwetsbaarheid);<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26858\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-26858<\/a> en <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-27065\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-27065<\/a> \u2014 kan door een aanvaller gebruikt worden om bestanden op een server te overschrijven.<\/li>\n<\/ul>\n<p>Cybercriminelen gebruiken de vier kwetsbaarheden in combinatie met een andere. Volgens Microsoft gebruiken ze soms echter in plaats van een initi\u00eble aanval gestolen inloggegevens en authentiseren ze zichzelf op de server zonder gebruik te maken van de CVE-2021-26855-kwetsbaarheid.<\/p>\n<p>Daarnaast lost dezelfde patch een aantal andere kleinere kwetsbaarheden in Exchange op die niet (voor zover we weten) direct gerelateerd zijn aan de actieve gerichte aanvallen.<\/p>\n<h2>Wie loopt er risico?<\/h2>\n<p>De cloud-versie van Exchange wordt niet be\u00efnvloed door deze kwetsbaarheden. Ze vormen alleen een risico voor servers die binnen de infrastructuur worden gebruikt. In eerste instantie bracht Microsoft <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-march-2021-exchange-server-security-updates\/ba-p\/2175901\" target=\"_blank\" rel=\"noopener nofollow\">updates<\/a> uit voor Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 en Microsoft Exchange Server 2019, en de aanvullende \u201cDefense in Depth\u201d-update voor Microsoft Exchange Server 2010. Vanwege de ernst van de kwetsbaarheid <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/march-2021-exchange-server-security-updates-for-older-cumulative\/ba-p\/2192020\" target=\"_blank\" rel=\"noopener nofollow\">voegden ze later echter ook oplossingen toe voor verouderde<\/a> Exchange Servers.<\/p>\n<p>Volgens <a href=\"https:\/\/blogs.microsoft.com\/on-the-issues\/2021\/03\/02\/new-nation-state-cyberattacks\/\" target=\"_blank\" rel=\"noopener nofollow\">onderzoekers<\/a> bij Microsoft waren het de hackers van de groep Hafnium die de kwetsbaarheden benutten om vertrouwelijke informatie te stelen. Hun doelwitten omvatten industri\u00eble bedrijven in de VS, onderzoekers van besmettelijke ziektes, advocatenkantoren, non-profitorganisaties en politieke analisten. Het precieze aantal slachtoffers is vooralsnog onbekend, maar <a href=\"https:\/\/krebsonsecurity.com\/2021\/03\/at-least-30000-u-s-organizations-newly-hacked-via-holes-in-microsofts-email-software\/\" target=\"_blank\" rel=\"noopener nofollow\">volgens bronnen van KrebsOnSecurity<\/a> zijn er ten minste 30.000 organisaties in de VS gehackt met gebruik van deze kwetsbaarheden, waaronder kleine bedrijven, stadsbesturen en lokale regeringen. Onze experts ontdekten dat niet alleen Amerikaanse organisaties gevaar lopen, want cybercriminelen van over de hele wereld maken gebruik van deze zwakke plekken. U kunt meer informatie vinden over de aanvalsgeografie in de <a href=\"https:\/\/securelist.com\/zero-day-vulnerabilities-in-microsoft-exchange-server\/101096\/\" target=\"_blank\" rel=\"noopener\">post van Securelist<\/a>.<\/p>\n<h2>Hoe beschermt u zich tegen aanvallen op MS Exchange?<\/h2>\n<ul>\n<li>Installeer allereerst de <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-march-2021-exchange-server-security-updates\/ba-p\/2175901\" target=\"_blank\" rel=\"noopener nofollow\">patch<\/a> voor uw Microsoft Exchange Server. Als uw bedrijf geen updates kan installeren, raadt Microsoft een aantal <a href=\"https:\/\/msrc-blog.microsoft.com\/2021\/03\/05\/microsoft-exchange-server-vulnerabilities-mitigations-march-2021\/\" target=\"_blank\" rel=\"noopener nofollow\">workarounds aan.<\/a><\/li>\n<li>Volgens Microsoft kan het weigeren van niet-vertrouwde toegang tot de Exchange-server via poort 443 of het in het algemeen beperken van verbindingen van buiten het bedrijfsnetwerk de initi\u00eble fase van de aanval een halt toeroepen. Maar dat helpt niet als de aanvallers de infrastructuur al binnen zijn gedrongen of als ze een gebruiker met beheerdersrechten zo ver krijgen om een schadelijk bestand te runnen.<\/li>\n<li>Een <a href=\"https:\/\/www.kaspersky.nl\/enterprise-security\/threat-management-defense-solution?icid=nl_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____tmd___\" target=\"_blank\" rel=\"noopener\">Endpoint Detection and Response<\/a>-oplossing (als u interne experts hebt) of externe Managed Detection and Response-specialisten kunnen dit soort schadelijk gedrag detecteren.<\/li>\n<li>Houd er altijd rekening mee dat elke computer die verbonden is met het internet, of dat nu een server of werkstation is, een <a href=\"https:\/\/www.kaspersky.nl\/small-to-medium-business-security?icid=nl_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">betrouwbare endpoint-beveiligingsoplossing<\/a>\u00a0moet hebben om op proactieve wijze schadelijk gedrag te detecteren.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Aanvallers benutten vier gevaarlijke kwetsbaarheden in Microsoft Exchange om voeten aan de grond te krijgen in het bedrijfsnetwerk.<\/p>\n","protected":false},"author":2581,"featured_media":26769,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[108,252,253],"tags":[1006,334,575,491],"class_list":{"0":"post-26768","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-exchange","11":"tag-kwetsbaarheden","12":"tag-microsoft","13":"tag-patches"},"hreflang":[{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/exchange-vulnerabilities\/26768\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/exchange-vulnerabilities\/22592\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/exchange-vulnerabilities\/18085\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/exchange-vulnerabilities\/24317\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/exchange-vulnerabilities\/22385\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/exchange-vulnerabilities\/21250\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/exchange-vulnerabilities\/24847\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/exchange-vulnerabilities\/24085\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/exchange-vulnerabilities\/30228\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/exchange-vulnerabilities\/9406\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/exchange-vulnerabilities\/38964\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/exchange-vulnerabilities\/16505\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/exchange-vulnerabilities\/17104\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/exchange-vulnerabilities\/14553\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/exchange-vulnerabilities\/26321\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/exchange-vulnerabilities\/30177\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/exchange-vulnerabilities\/23631\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/exchange-vulnerabilities\/28972\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/exchange-vulnerabilities\/28781\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.nl\/blog\/tag\/kwetsbaarheden\/","name":"kwetsbaarheden"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/26768","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/comments?post=26768"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/26768\/revisions"}],"predecessor-version":[{"id":26771,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/26768\/revisions\/26771"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media\/26769"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media?parent=26768"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/categories?post=26768"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/tags?post=26768"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}