Onbeschermd Exchange krijgt makkelijke Microsoft-tool

Microsoft biedt overweldigde Exchange-beheerders hulp bij het veilig zien te stellen van hun installaties. Voor organisaties die nog niet zijn toegekomen aan de noodpatches voor actief misbruikte zerodays in Exchange is er nu een makkelijke mitigation-tool. Deze gratis download beschermt, scant, en probeert te herstellen. Maar een permanente fix is het niet.

Jasper BakkerredacteurMeer van deze auteur

Exchange Server — © Shutterstock.com

Shutterstock.com

Op basis van contact met Exchange-klanten heeft Microsoft gerealiseerd dat er behoefte is aan een eenvoudige, makkelijk te gebruiken en geautomatiseerde oplossing om Exchange te beschermen. Deze is dan voor zowel up-to-date als voor oudere, niet langer ondersteunde versies van on-premises draaiend Exchange Server. De leverancier heeft zijn tool getest op Exchange Server 2013, 2016, en 2019. Elk van die releases heeft diverse tussenversies, op basis van Cumulatieve Updates (CU's).

Één muisklik

Microsoft omschrijft zijn nieuwe Microsoft Exchange On-Premises Mitigation Tool als middel voor klanten die geen apart security-team of zelfs geen algemeen IT-team hebben. Zulke organisaties krijgen nu een gratis tool aangereikt die met één muisklik valt in te zetten om een reeks noodzakelijke securityhandelingen uit te voeren.

Het beveiligingshulpmiddel voor Microsofts mail- en agendaserversoftware neemt bij uitvoering drie concrete beschermingsmaatregelen. Als eerste stap stelt het afweer in tegen misbruik van één van de vier zerodays die aaneengeregen (chained) worden gebruikt om Exchange-installaties te compromitteren. Deze kwetsbaarheid (CVE-2021-26855) is de initiële ingang die zonder privileges of gebruikersinteractie een onbeveiligde verbinding laat leggen met de serversoftware.

Als tweede stap voert de Exchange On-Premises Mitigation Tool een scan uit met de Microsoft Safety Scanner. Die gratis securitytool is ook los te verkrijgen en in te zetten, maar niet elke Exchange-gebruikende organisatie blijkt daar aan toe te komen - of toe in staat te zijn. Als derde stap doet de tool een herstelpoging voor eventuele wijzigingen die succesvolle aanvallers hebben aangebracht. Dit gebeurt dan op basis van dreigingen die nu bekend zijn, aan de hand van zogeheten indicators of compromise (IOC's).

Tijdelijke tool

Microsoft benadrukt dat deze beschermingstool géén permanente oplossing is. Het is ontworpen als tussentijdse afweer voor klanten die niet bekend zijn met het patch/update-proces, legt de softwareproducent uit, of klanten die nog niet de security-update voor on-premises Exchange hebben toegepast. "Deze tool moet alleen gebruikt worden als tijdelijke mitigation totdat je Exchange-servers volledig zijn te updaten, zoals aangegeven in onze eerdere richtlijnen." Ondertussen loopt er onder security-experts en beheerders de discussie of servers die nu nog niet gepatcht zijn, misschien als verloren beschouwd moeten worden.

Microsoft has released a new, one-click mitigation tool, the Microsoft Exchange On-Premises Mitigation Tool, to help customers who do not have dedicated security or IT teams to apply security updates for Microsoft Exchange Server. Learn more: https://t.co/IfChAqpcEH pic.twitter.com/xD94M8Czg5
— Microsoft Security Intelligence (@MsftSecIntel) March 15, 2021