NCSC waarschuwt voor actief misbruikte zerodays in Exchange Server
Het Nationaal Cyber Security Center (NCSC) en Microsoft waarschuwen voor twee zerodays in Microsoft Exchange Server die actief misbruikt worden door aanvallers. Voor de twee kwetsbaarheden zijn nog geen patches beschikbaar. Microsoft werkt wel aan een oplossing.
© CC0 - Devcore https://proxylogon.com/
CC0 - Devcore https://proxylogon.com
De zerodays werden gevonden door een Vietnamees securitybedrijf genaamd GTSC. Volgens het NCSC hebben deze kwetsbaarheden overeenkomsten met de fouten die samen de ProxyShell-aanval vormen. Die fouten werden vorig jaar ontdekt. Met een geslaagde ProxyShell-aanval krijgt een kwaadwillende de controle over een kwetsbare Exchange-server, waarna er eigen code uitgevoerd kan worden.
De nu ontdekte fouten zijn een Server-Side Request Forgery (SSRF)-fout - gevolgd onder CVE-2022-41040 - en een Remote Code Execution (RCE)-probleem, gevolgd onder CVE-2022-41082. Volgens Microsoft zijn er op kleine schaal aanvallen uitgevoerd, waarbij de beide fouten samen gebruikt worden. De SSRF-fout wordt dan ingezet om op afstand bij het RCE-probleem te kunnen komen, waarna er eigen code uitgevoerd kan worden op systemen. Om de kwetsbaarheden uit te buiten is wel geauthenticeerde toegang nodig tot de Exchange Server.
Het NCSC schat de kans op misbruik en de kans op schade na misbruik hoog in, zo geeft de organisatie aan in zijn waarschuwing. Er is echter nog geen patch beschikbaar om de problemen op te lossen. Microsoft zegt wel aan een oplossing te werken. Ook deelt het bedrijf op zijn blog een aantal mitigerende maatregelen die genomen kunnen worden.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee