Beheer

Security
Exchange Server

NCSC waarschuwt voor actief misbruikte zerodays in Exchange Server

Microsoft werkt aan oplossing. 

© CC0 - Devcore https://proxylogon.com/
30 september 2022

Microsoft werkt aan oplossing. 

Het Nationaal Cyber Security Center (NCSC) en Microsoft waarschuwen voor twee zerodays in Microsoft Exchange Server die actief misbruikt worden door aanvallers. Voor de twee kwetsbaarheden zijn nog geen patches beschikbaar. Microsoft werkt wel aan een oplossing.

De zerodays werden gevonden door een Vietnamees securitybedrijf genaamd GTSC. Volgens het NCSC hebben deze kwetsbaarheden overeenkomsten met de fouten die samen de ProxyShell-aanval vormen. Die fouten werden vorig jaar ontdekt. Met een geslaagde ProxyShell-aanval krijgt een kwaadwillende de controle over een kwetsbare Exchange-server, waarna er eigen code uitgevoerd kan worden.

De nu ontdekte fouten zijn een Server-Side Request Forgery (SSRF)-fout - gevolgd onder CVE-2022-41040 - en een Remote Code Execution (RCE)-probleem, gevolgd onder CVE-2022-41082. Volgens Microsoft zijn er op kleine schaal aanvallen uitgevoerd, waarbij de beide fouten samen gebruikt worden. De SSRF-fout wordt dan ingezet om op afstand bij het RCE-probleem te kunnen komen, waarna er eigen code uitgevoerd kan worden op systemen. Om de kwetsbaarheden uit te buiten is wel geauthenticeerde toegang nodig tot de Exchange Server.

Het NCSC schat de kans op misbruik en de kans op schade na misbruik hoog in, zo geeft de organisatie aan in zijn waarschuwing. Er is echter nog geen patch beschikbaar om de problemen op te lossen. Microsoft zegt wel aan een oplossing te werken. Ook deelt het bedrijf op zijn blog een aantal mitigerende maatregelen die genomen kunnen worden. 

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.