Microsoft-patchronde komt bovenop noodpatches Exchange

Het bereik van de updates in Microsofts patchronde van deze maand is behoorlijk breed. De uitgebrachte patches zijn voor producten als Windows Server maar ook voor Internet Explorer (IE). Laatstgenoemde is de inmiddels eervorige browser van Microsoft. IE wordt in de praktijk nauwelijks meer gebruikt, maar staat nog wel geïnstalleerd op Windows-machines wereldwijd. Bovendien kan de antieke browser onder bepaalde omstandigheden nog worden aangeroepen door buitenstaanders, zo heeft AG Connect laatst ontdekt.

Via Outlook

Bovendien is de nu te patchten IE-kwetsbaarheid al benut door aanvallers. Dit beveiligingsgat is namelijk gelinkt aan een kwetsbaarheid die begin februari al is onthuld door onderzoekers bij de Zuid-Koreaanse security start-up ENKI, zo weet beveiligingsexpert Brian Krebs te melden. Die 0-day in Windows' ingebouwde browser is één van de ingezette middelen in een hackcampagne gericht op securityonderzoekers.

Deze aanvallen zijn toegedicht aan Noord-Korea, wist Bleeping Computer vorige maand te melden. De daarbij gebruikte methode is deels wat AG Connect heeft ontdekt en waarover nog vragen uitstaan bij Microsoft; over het oude IE en modern Outlook. Het Zuid-Koreaanse ENKI heeft al aangekondigd proof-of-concept (PoC) code uit te brengen voor het IE-gat zodra er patches beschikbaar zijn. Dat heeft Microsoft nu dus gedaan op de Patch Tuesday van maart 2021.

DNS op Windows-servers

In die patchronde zitten ook updates voor de DNS-serversoftware die is ingebouwd in Windows Server. Dit betreft oude én huidige releases van dat serverbesturingssysteem: versies 2008 en 2008 R2 (Release 2), 2012 en 2012 R2, 2016, 2019 en 1909 (de release van september 2019), 2004 (de release van april 2020) en 20H2 (de release van de tweede helft van 2020). De DNS-server van die Windows-versies bevat kwetsbaarheden die kwaadwillenden de mogelijkheid geeft om op afstand eigen code uit te voeren.

De complexiteit van deze aanval is laag, waarschuwt Microsoft. In totaal worden er nu 7 DNS-kwetsbaarheden aangepakt, meldt securityleverancier McAfee. Daarvan zijn 5 stuks te benutten voor remote code execution (RCE), waardoor ze een CVSS-score van maar liefst 9,8 hebben. De overige 2 DNS-kwetsbaarheden in Windows Server zijn door aanvallers te gebruiken voor DoS-aanvallen (denial-of-service).

Exchange-crisis

De lading patches die nu is uitgebracht voor uiteenlopende Microsoft-producten komt dus bovenop de noodpatches die de softwareleverancier begin deze maand plots uitbracht. Dat zijn kritieke updates voor een reeks kwetsbaarheden in Exchange Server, die aanvallers mail laten plunderen maar waarlangs ze ook eigen backdoors kunnen plaatsen op Windows-servers die deze mail- en agendasoftware van Microsoft draaien.

Die voorheen onbekende gaten (zogeheten zero-days) zijn vóór het uitkomen van de patches al gebruikt in gerichte aanvallen op Amerikaanse organisaties. Microsoft meldde bij de onthulling hiervan dat het om een beperkt aantal aanvallen gaat, uitgevoerd door de Chinese staatshackersgroep HAFNIUM. Nadat de noodpatches voor Exchange zijn uitgebracht, hebben aanvallers de kwetsbaarheden op grotere schaal benut. Daarbij worden ook Nederlandse bedrijven en organisaties op de korrel genomen.

Nederland ook kwetsbaar

Succesvol misbruik van de Exchange-gaten kan volledige compromittering van IT-omgevingen betekenen. Terwijl de patches nu een week beschikbaar zijn, hebben lang niet alle gebruikers die al weten te installeren. In Nederland zijn 4 op de 10 Exchange-servers nog niet gepatcht, waarschuwt het Nationaal Cyber Security Centrum (NCSC).

Vrijwilligersorganisatie DIVD (Dutch Institute for Vulnerability Disclosure) heeft met een eigen scan 250.000 Exchange-servers bekeken en ontdekt dat 46.000 stuks daarvan nog kwetsbaar zijn. DIVD heeft de eigenaren van die systemen notificaties gestuurd. Voor vele beheerders is er nu geen sprake van uitpuffen van de Exchange-crisis.